Microsoft Sentinel (versión preliminar)
SIEM nativo de la nube con una inteligencia artificial integrada para que pueda centrarse en lo que más importa.
Este conector está disponible en los siguientes productos y regiones:
| Service | Class | Regions |
|---|---|---|
| Aplicaciones lógicas | Estándar | Todas las regiones de Logic Apps |
| Contacto | |
|---|---|
| Nombre | Microsoft |
| URL |
Compatibilidad con Microsoft LogicApps |
| Metadatos del conector | |
|---|---|
| Publicador | Microsoft |
| Sitio web | https://azure.microsoft.com/services/azure-sentinel/ |
Conector de Microsoft Sentinel
Conector en profundidad
Obtenga más información sobre cómo usar este conector:
- Autenticación de cuadernos de estrategias en Azure Sentinel
- Uso de desencadenadores y acciones en cuadernos de estrategias
- Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel
Autenticación
Los desencadenadores y acciones del conector de Mcirosoft Sentinel pueden funcionar en nombre de cualquier identidad que tenga los permisos necesarios (lectura o escritura) en el área de trabajo correspondiente. El conector admite varios tipos de identidad:
- Identidad administrada (versión preliminar)
- Usuario de Id. de Microsoft Entra
- Entidad de servicio (aplicación microsoft Entra ID)
Permisos necesarios
| Roles y componentes del conector | Desencadenadores | Acciones "Obtener" | Actualizar incidente, agregar un comentario |
|---|---|---|---|
| Lector de Microsoft Sentinel | ✓ | ✓ | ✗ |
| Microsoft Sentinel Respondedor/Colaborador | ✓ | ✓ | ✓ |
Obtenga más información sobre los permisos en Microsoft Sentinel.
Obtenga información sobre cómo usar las distintas opciones de autenticación.
Problemas y limitaciones conocidos
No se puede desencadenar una aplicación lógica llamada por un desencadenador de Microsoft Sentinel mediante el botón "Ejecutar desencadenador"
Un usuario no puede usar el botón Ejecutar desencadenador en la hoja Información general del servicio Logic Apps para desencadenar un cuaderno de estrategias de Microsoft Sentinel.
Azure Logic Apps se desencadena mediante una llamada REST POST, cuyo cuerpo es la entrada del desencadenador. Las aplicaciones lógicas que comienzan con desencadenadores de Microsoft Sentinel esperan ver el contenido de una alerta o incidente de Microsoft Sentinel en el cuerpo de la llamada. Cuando la llamada procede de la hoja Información general de Logic Apps, el cuerpo de la llamada está vacío y, por tanto, se genera un error.
Estas son las únicas maneras adecuadas de desencadenar cuadernos de estrategias de Microsoft Sentinel:
- Desencadenador manual en Microsoft Sentinel
- Respuesta automatizada de una regla de análisis (directamente o a través de una regla de automatización) en Microsoft Sentinel
- Uso del botón "Volver a enviar" en una hoja de ejecución de Logic Apps existente
- Llame directamente al punto de conexión de Logic Apps (adjuntar una alerta o incidente como cuerpo).
Actualización del mismo incidente en paralelo para cada bucle
Para cada bucle se establece de forma predeterminada para ejecutarse en paralelo, pero se puede establecer fácilmente para ejecutarse secuencialmente. Si un bucle for each puede actualizar el mismo incidente de Microsoft Sentinel en iteraciones independientes, debe configurarse para ejecutarse secuencialmente.
La restauración de la consulta original de la alerta no se admite actualmente a través de Logic Apps
El uso del conector de registros de Azure Monitor para recuperar los eventos capturados por la regla de análisis de alertas programadas no es confiable de forma coherente.
- Los registros de Azure Monitor no admiten la definición de un intervalo de tiempo personalizado. La restauración de los mismos resultados de consulta exactamente requiere definir el mismo intervalo de tiempo exacto que en la consulta original.
- Las alertas pueden retrasarse en aparecer en el área de trabajo de Log Analytics después de que la regla desencadene el cuaderno de estrategias.
Recursos disponibles
Documentos de Microsoft Sentinel
- Automatización avanzada con cuadernos de estrategias
- Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel
- Autenticación de cuadernos de estrategias en Microsoft Sentinel
- Uso de desencadenadores y acciones en cuadernos de estrategias
Referencias de Microsoft Sentinel
Azure Logic Apps
Creación de una conexión
El conector admite los siguientes tipos de autenticación:
| Predeterminado | Parámetros para crear una conexión. | Todas las regiones | No se puede compartir |
Predeterminado
Aplicable: Todas las regiones
Parámetros para crear una conexión.
Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.
Limitaciones
| Nombre | Llamadas | Período de renovación |
|---|---|---|
| Llamadas API por conexión | 600 | 60 segundos |
Acciones
| Agregar alerta al incidente |
Agregue una alerta a un incidente existente. La alerta se une al incidente como cualquier otra alerta y se mostrará en el portal. |
| Agregar comentario al incidente (V2) |
Agrega comentario al incidente seleccionado |
| Agregar comentario al incidente (V3) |
Agrega comentario al incidente seleccionado |
| Agregar comentario al incidente [EN DESUSO] |
Esta acción ha quedado en desuso. Use Agregar comentario al incidente (V3) en su lugar.
|
| Agregar etiquetas al incidente (en desuso) [EN DESUSO] |
Agrega etiquetas al incidente seleccionado |
| Agregar tarea al incidente |
Agrega una tarea a un incidente existente |
| Alerta: obtención de incidentes |
Devuelve el incidente asociado a la alerta seleccionada. |
| Alerta: obtención de incidentes |
Devuelve el incidente asociado a la alerta seleccionada. |
| Cambiar el estado del incidente (en desuso) [EN DESUSO] |
cambia el estado del incidente seleccionado |
| Cambiar el título del incidente (V2) (en desuso) [EN DESUSO] |
cambia el título al incidente seleccionado |
| Cambiar el título del incidente [EN DESUSO] |
cambia el título al incidente seleccionado |
| Cambiar la descripción del incidente (V2) (en desuso) [EN DESUSO] |
cambios en la descripción del incidente seleccionado |
| Cambiar la gravedad del incidente (en desuso) [EN DESUSO] |
cambia la gravedad del incidente seleccionado |
| Cambio de la descripción del incidente [EN DESUSO] |
cambios en la descripción del incidente seleccionado |
| Cancelación de suscripción del desencadenador ASI [EN DESUSO] |
Unsubscribe |
| Creación de incidentes |
Creación de incidentes con campos proporcionados |
| Eliminación de alertas del incidente |
Quite una alerta de un incidente existente. |
| Entidades: obtención de direcciones IP |
Devuelve la lista de direcciones IP asociadas a la alerta. |
| Entidades: obtención de DNS |
Devuelve la lista de registros DNS asociados a la alerta. |
| Entidades: obtención de hosts |
Devuelve la lista de hosts asociados a la alerta. |
| Entidades: Obtener cuentas |
Devuelve la lista de cuentas asociadas a la alerta. |
| Entidades: obtener direcciones URL |
Devuelve la lista de direcciones URL asociadas a la alerta. |
|
Entidades: Obtener File |
Devuelve la lista de hashes de archivo asociados a la alerta. |
| Incidente de actualización |
Actualizar incidente con campos proporcionados |
| Inteligencia sobre amenazas: carga de objetos STIX (versión preliminar) |
Cargue objetos STIX de forma masiva mediante threat Intelligence Upload API. |
| Inteligencia sobre amenazas: indicadores de carga de riesgo (en desuso) |
Inteligencia sobre amenazas: indicadores de carga de riesgo |
| Inteligencia sobre amenazas: indicadores de carga de riesgo (V2) (versión preliminar) |
Cargue indicadores de forma masiva mediante la API de indicadores de carga de inteligencia sobre amenazas. |
| Listas de reproducción: actualización de un elemento de lista de reproducción existente |
Listas de reproducción: actualización de un elemento de lista de reproducción existente |
| Listas de reproducción: agregar un nuevo elemento de lista de reproducción |
Listas de reproducción: agregar un nuevo elemento de lista de reproducción |
| Listas de reproducción: creación de una lista de reproducción grande mediante un URI de SAS |
Listas de reproducción: creación de una lista de reproducción grande mediante un URI de SAS |
| Listas de reproducción: creación de una lista de reproducción grande mediante un URI de SAS (V2) |
Listas de reproducción: creación de una lista de reproducción grande mediante un URI de SAS (V2) |
| Listas de reproducción: crear una nueva lista de reproducción con datos (contenido sin procesar) |
Listas de reproducción: crear una nueva lista de reproducción con datos (contenido sin procesar) |
| Listas de reproducción: crear una nueva lista de reproducción con datos (contenido sin procesar) (V2) |
Listas de reproducción: crear una nueva lista de reproducción con datos (contenido sin procesar) (V2) |
| Listas de reproducción: eliminar un elemento de lista de reproducción |
Listas de reproducción: eliminar un elemento de lista de reproducción |
| Listas de reproducción: eliminar un elemento de lista de reproducción (V2) |
Listas de reproducción: eliminar un elemento de lista de reproducción (V2) |
| Listas de reproducción: eliminar una lista de reproducción |
Listas de reproducción: eliminar una lista de reproducción |
| Listas de reproducción: eliminar una lista de reproducción (V2) |
Elimina una lista de reproducción determinada por alias. |
| Listas de reproducción: obtener todos los elementos de la lista de reproducción de una lista de reproducción determinada |
Listas de reproducción: obtener todos los elementos de la lista de reproducción de una lista de reproducción determinada |
| Listas de reproducción: obtener todos los elementos de lista de reproducción de una lista de reproducción determinada (V2) |
Listas de reproducción: obtener todos los elementos de lista de reproducción de una lista de reproducción determinada (V2) |
| Listas de reproducción: obtener un elemento de lista de reproducción por identificador (guid) |
Listas de reproducción: obtener un elemento de lista de reproducción |
| Listas de reproducción: obtener una lista de reproducción por alias |
Listas de reproducción: obtener una lista de reproducción por alias |
| Marcadores (V2): creación de un nuevo marcador (entrada json) (versión preliminar) |
Marcadores (V2): cree un marcador (json) válido. |
| Marcadores (V3): crea un nuevo marcador con campos independientes (versión preliminar) |
Marcadores (V3): cree un nuevo marcador. |
| Marcadores: crea un nuevo marcador (versión preliminar) |
Marcadores: crea un nuevo marcador. |
| Marcadores: eliminar un marcador |
Marcadores: eliminar un marcador |
| Marcadores: obtener todos los marcadores |
Marcadores: obtener todos los marcadores de un área de trabajo determinada |
| Marcadores: obtener un marcador |
Marcadores: obtención de marcadores por identificador |
| Marcar una tarea como completada |
Marcar una tarea como completada |
| Obtener incidente |
Obtención de un incidente mediante el identificador de ARM |
| Quitar etiquetas del incidente (en desuso) [EN DESUSO] |
Quita las etiquetas del incidente seleccionado. |
Agregar alerta al incidente
Agregue una alerta a un incidente existente. La alerta se une al incidente como cualquier otra alerta y se mostrará en el portal.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de ARM de incidente
|
incidentArmId | True | string |
Id. de ARM de incidente. Recuperación del desencadenador de incidentes, Alerta: obtención de la acción de incidente o consulta de registros de Azure Monitor. |
|
Identificador de alerta del sistema
|
relatedResourceId | True | string |
Identificador de alerta del sistema que se agregará o quitará a / del incidente. Recuperar de la consulta de registros de Azure Monitor o desencadenador de alertas. Por ejemplo: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Devoluciones
Representa una relación de incidentes
- Body
- IncidentRelation
Agregar comentario al incidente (V2)
Agrega comentario al incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
Especificar comentario
|
Value | True | string |
Valor de comentario |
Devoluciones
- response
- string
Agregar comentario al incidente (V3)
Agrega comentario al incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de ARM de incidente
|
incidentArmId | True | string |
Identificador de ARM de incidente |
|
Mensaje de comentario de incidente
|
message | True | html |
Mensaje de comentario de incidente |
Devoluciones
Representa un elemento de comentario de incidente
- Comentario del incidente
- IncidentComment
Agregar comentario al incidente [EN DESUSO]
Esta acción ha quedado en desuso. Use Agregar comentario al incidente (V3) en su lugar.
Agrega comentario al incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
Especificación del comentario del incidente
|
comment | True | string |
Comentario de incidentes |
Devoluciones
- response
- string
Agregar etiquetas al incidente (en desuso) [EN DESUSO]
Agrega etiquetas al incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
label
|
Label | True | string |
label |
Devoluciones
- response
- string
Agregar tarea al incidente
Agrega una tarea a un incidente existente
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de ARM de incidente
|
incidentArmId | True | string |
Identificador de ARM de incidente |
|
Title
|
taskTitle | True | string |
Título de la tarea |
|
Description
|
taskDescription | html |
Descripción de la tarea |
Devoluciones
Representa un elemento de tarea de incidente
- Tarea incidente
- IncidentTask
Alerta: obtención de incidentes
Devuelve el incidente asociado a la alerta seleccionada.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del identificador de alerta
|
alertId | True | string |
Identificador de alerta del sistema |
Devoluciones
Representa un incidente en Azure Security Insights.
- Body
- Incident
Alerta: obtención de incidentes
Devuelve el incidente asociado a la alerta seleccionada.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del identificador de alerta
|
alertId | True | string |
Identificador de alerta del sistema |
Devoluciones
- Body
- OldIncident
Cambiar el estado del incidente (en desuso) [EN DESUSO]
cambia el estado del incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
Especificar el estado
|
status | True | string |
Valor de estado |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Esquema dinámico del modificador de estado de incidente |
Devoluciones
- response
- string
Cambiar el título del incidente (V2) (en desuso) [EN DESUSO]
cambia el título al incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
Especificar título
|
Value | True | string |
Valor de título |
Devoluciones
- response
- string
Cambiar el título del incidente [EN DESUSO]
cambia el título al incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
Especificar título
|
fieldValue | True | string |
Valor de título |
Devoluciones
- response
- string
Cambiar la descripción del incidente (V2) (en desuso) [EN DESUSO]
cambios en la descripción del incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
Especificación de la descripción
|
Value | True | string |
Valor de descripción |
Devoluciones
- response
- string
Cambiar la gravedad del incidente (en desuso) [EN DESUSO]
cambia la gravedad del incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
Especificación de la gravedad
|
severity | True | string |
Valor de gravedad |
Devoluciones
- response
- string
Cambio de la descripción del incidente [EN DESUSO]
cambios en la descripción del incidente seleccionado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
Especificación de la descripción
|
fieldValue | True | string |
Valor de descripción |
Devoluciones
- response
- string
Cancelación de suscripción del desencadenador ASI [EN DESUSO]
Creación de incidentes
Creación de incidentes con campos proporcionados
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Seleccionar suscripción |
|
Grupo de recursos
|
resourceGroup | True | string |
Selección del grupo de recursos |
|
Nombre del área de trabajo
|
workspaceName | True | string |
Seleccionar área de trabajo |
|
Especificar campos de incidente
|
body | True | dynamic |
Campos de incidente |
Devoluciones
Representa un incidente en Azure Security Insights.
- Body
- Incident
Eliminación de alertas del incidente
Quite una alerta de un incidente existente.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de ARM de incidente
|
incidentArmId | True | string |
Id. de ARM de incidente. Recuperación del desencadenador de incidentes, Alerta: obtención de la acción de incidente o consulta de registros de Azure Monitor. |
|
Identificador de alerta del sistema
|
relatedResourceId | True | string |
Identificador de alerta del sistema que se agregará o quitará a / del incidente. Recuperar de la consulta de registros de Azure Monitor o desencadenador de alertas. Por ejemplo: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Devoluciones
- response
- string
Entidades: obtención de direcciones IP
Devuelve la lista de direcciones IP asociadas a la alerta.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluciones
Lista de direcciones IP asociadas a la alerta
- Body
- BatchResponseIP
Entidades: obtención de DNS
Devuelve la lista de registros DNS asociados a la alerta.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluciones
Lista de dominios DNS asociados a la alerta
- Body
- BatchResponseDNS
Entidades: obtención de hosts
Devuelve la lista de hosts asociados a la alerta.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluciones
Lista de hosts asociados a la alerta
- Body
- BatchResponseHost
Entidades: Obtener cuentas
Devuelve la lista de cuentas asociadas a la alerta.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluciones
Lista de cuentas asociadas a la alerta
- Body
- BatchResponseAccount
Entidades: obtener direcciones URL
Devuelve la lista de direcciones URL asociadas a la alerta.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluciones
Lista de direcciones URL asociadas a la alerta
- Body
- BatchResponseUrl
Entidades: Obtener FileHashes
Devuelve la lista de hashes de archivo asociados a la alerta.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluciones
Lista de hashes de archivo asociados a la alerta
Incidente de actualización
Actualizar incidente con campos proporcionados
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificar los campos de incidente que se van a actualizar
|
body | True | dynamic |
Campos de incidente que se van a actualizar |
Devoluciones
Representa un incidente en Azure Security Insights.
- Body
- Incident
Inteligencia sobre amenazas: carga de objetos STIX (versión preliminar)
Cargue objetos STIX de forma masiva mediante threat Intelligence Upload API.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
Devoluciones
Respuesta de la API Uplaod de inteligencia sobre amenazas. Estos son errores para objetos no válidos en el cuerpo de la solicitud.
- Productos
- UploadApiValidationErrors
Inteligencia sobre amenazas: indicadores de carga de riesgo (en desuso)
Inteligencia sobre amenazas: indicadores de carga de riesgo
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
Devoluciones
Respuesta de los indicadores uplaod de inteligencia sobre amenazas.
- Productos
- IndicatorValidationErrors
Inteligencia sobre amenazas: indicadores de carga de riesgo (V2) (versión preliminar)
Cargue indicadores de forma masiva mediante la API de indicadores de carga de inteligencia sobre amenazas.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
Devoluciones
Respuesta de la API Uplaod de inteligencia sobre amenazas. Estos son errores para objetos no válidos en el cuerpo de la solicitud.
- Productos
- UploadApiValidationErrors
Listas de reproducción: actualización de un elemento de lista de reproducción existente
Listas de reproducción: actualización de un elemento de lista de reproducción existente
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
|
Especificar id. de elemento de lista de reproducción
|
watchlistItemId | True | string |
Identificador único de un elemento de lista de reproducción (GUID) |
Devoluciones
Representa un watchlistItem en Azure Security Insights.
- Body
- WatchlistItem
Listas de reproducción: agregar un nuevo elemento de lista de reproducción
Listas de reproducción: agregar un nuevo elemento de lista de reproducción
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Devoluciones
Representa un watchlistItem en Azure Security Insights.
- Body
- WatchlistItem
Listas de reproducción: creación de una lista de reproducción grande mediante un URI de SAS
Listas de reproducción: creación de una lista de reproducción grande mediante un URI de SAS
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Devoluciones
Representa una lista de reproducción en Azure Security Insights.
- Body
- Watchlist
Listas de reproducción: creación de una lista de reproducción grande mediante un URI de SAS (V2)
Listas de reproducción: creación de una lista de reproducción grande mediante un URI de SAS (V2)
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Devoluciones
Representa una lista de reproducción en Azure Security Insights.
- Body
- WatchlistV2
Listas de reproducción: crear una nueva lista de reproducción con datos (contenido sin procesar)
Listas de reproducción: crear una nueva lista de reproducción con datos (contenido sin procesar)
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Devoluciones
Representa una lista de reproducción en Azure Security Insights.
- Body
- Watchlist
Listas de reproducción: crear una nueva lista de reproducción con datos (contenido sin procesar) (V2)
Listas de reproducción: crear una nueva lista de reproducción con datos (contenido sin procesar) (V2)
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Devoluciones
Representa una lista de reproducción en Azure Security Insights.
- Body
- WatchlistV2
Listas de reproducción: eliminar un elemento de lista de reproducción
Listas de reproducción: eliminar un elemento de lista de reproducción
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
|
Especificar id. de elemento de lista de reproducción
|
watchlistItemId | True | string |
Identificador único de un elemento de lista de reproducción (GUID) |
Devoluciones
- response
- string
Listas de reproducción: eliminar un elemento de lista de reproducción (V2)
Listas de reproducción: eliminar un elemento de lista de reproducción (V2)
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
|
Especificar id. de elemento de lista de reproducción
|
watchlistItemId | True | string |
Identificador único de un elemento de lista de reproducción (GUID) |
Devoluciones
- response
- string
Listas de reproducción: eliminar una lista de reproducción
Listas de reproducción: eliminar una lista de reproducción
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Devoluciones
- response
- string
Listas de reproducción: eliminar una lista de reproducción (V2)
Elimina una lista de reproducción determinada por alias.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Listas de reproducción: obtener todos los elementos de la lista de reproducción de una lista de reproducción determinada
Listas de reproducción: obtener todos los elementos de la lista de reproducción de una lista de reproducción determinada
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Devoluciones
Enumera todos los elementos de la lista de reproducción.
- response
- WatchlistItemList
Listas de reproducción: obtener todos los elementos de lista de reproducción de una lista de reproducción determinada (V2)
Listas de reproducción: obtener todos los elementos de lista de reproducción de una lista de reproducción determinada (V2)
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
|
Omitir token
|
skipToken | string |
Omitir token para el siguiente conjunto de 100 elementos que se van a devolver |
Devoluciones
Enumera todos los elementos de la lista de reproducción.
- response
- WatchlistItemList
Listas de reproducción: obtener un elemento de lista de reproducción por identificador (guid)
Listas de reproducción: obtener un elemento de lista de reproducción
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
|
Especificar id. de elemento de lista de reproducción
|
watchlistItemId | True | string |
Identificador único de un elemento de lista de reproducción (GUID) |
Devoluciones
Representa un watchlistItem en Azure Security Insights.
- Body
- WatchlistItem
Listas de reproducción: obtener una lista de reproducción por alias
Listas de reproducción: obtener una lista de reproducción por alias
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificación del alias de lista de reproducción
|
watchlistAlias | True | string |
Alias de lista de reproducción |
Devoluciones
Representa una lista de reproducción en Azure Security Insights.
- Body
- Watchlist
Marcadores (V2): creación de un nuevo marcador (entrada json) (versión preliminar)
Marcadores (V2): cree un marcador (json) válido.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Nombre para mostrar del marcador
|
displayName | True | string |
Nombre para mostrar del marcador |
|
Consulta de marcador
|
bookmarkQuery | True | string |
Consulta de marcador (por ejemplo, 'SecurityEvent | donde TimeGenerated > ago(1d) y TimeGenerated < ago(2d)') |
|
Resultado de la consulta de marcador
|
bookmarkQueryResult | True | string |
Resultado de la consulta de marcador (por ejemplo, "Resultado de consulta de eventos de seguridad") |
|
Notas del marcador
|
bookmarkNotes | string |
Notas del marcador (por ejemplo, "Mis notas de marcador") |
Devoluciones
Representa un marcador en Azure Security Insights.
- Body
- Bookmark
Marcadores (V3): crea un nuevo marcador con campos independientes (versión preliminar)
Marcadores (V3): cree un nuevo marcador.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificar el nombre para mostrar del marcador
|
bookmarkName | True | string |
Nombre para mostrar del marcador (por ejemplo, "Mi marcador") |
|
Especificación de la consulta de marcador
|
bookmarkQuery | True | string |
Consulta de marcador (por ejemplo, 'SecurityEvent | donde TimeGenerated > ago(1d) y TimeGenerated < ago(2d)') |
|
Especificar el resultado de la consulta de marcador
|
bookmarkQueryResult | True | string |
Resultado de la consulta de marcador (por ejemplo, "Resultado de consulta de eventos de seguridad") |
|
Especificar notas de marcador
|
bookmarkNotes | True | string |
Notas del marcador (por ejemplo, "Mis notas de marcador") |
Devoluciones
Representa un marcador en Azure Security Insights.
- Body
- Bookmark
Marcadores: crea un nuevo marcador (versión preliminar)
Marcadores: crea un nuevo marcador.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificar id. de marcador
|
bookmarkId | True | string |
Identificador del marcador |
|
creado
|
created | date-time |
Hora en que se creó el marcador |
|
|
Correo electrónico
|
string |
El correo electrónico del usuario. |
||
|
nombre
|
name | string |
Nombre del usuario. |
|
|
objectId
|
objectId | uuid |
Identificador de objeto del usuario. |
|
|
Nombre para mostrar
|
displayName | True | string |
Nombre para mostrar del marcador |
|
labels
|
labels | string |
Etiqueta que se usará para etiquetar y filtrar. |
|
|
notas
|
notes | string |
Notas del marcador |
|
|
query
|
query | True | string |
Consulta del marcador. |
|
queryResult
|
queryResult | string |
Resultado de la consulta del marcador. |
|
|
Actualizado
|
updated | date-time |
La última vez que se actualizó el marcador |
|
|
hora del evento
|
eventTime | date-time |
Hora del evento del marcador |
|
|
queryStartTime
|
queryStartTime | date-time |
Hora de inicio de la consulta |
|
|
queryEndTime
|
queryEndTime | date-time |
Hora de finalización de la consulta |
|
|
Identificador de ARM del incidente
|
id | string |
Identificador completo de ARM del incidente. |
|
|
Nombre de ARM del incidente
|
name | string |
Nombre arm del incidente (GUID) |
|
|
Recuento de alertas de incidentes
|
alertsCount | integer |
El número de alertas del incidente |
|
|
Recuento de marcadores de incidentes
|
bookmarksCount | integer |
Número de marcadores del incidente |
|
|
Recuento de comentarios de incidentes
|
commentsCount | integer |
Número de comentarios en el incidente |
|
|
Nombres de producto de alerta de incidentes
|
alertProductNames | array of string |
Lista de nombres de producto de alertas en el incidente |
|
|
Dirección URL del incidente del proveedor
|
providerIncidentUrl | string |
Dirección URL del incidente en el portal de Microsoft Defender |
|
|
Número de incidente combinado
|
mergedIncidentNumber | string |
Número de incidente del incidente en el que se combinó el incidente actual |
|
|
Dirección URL de incidente combinada
|
mergedIncidentUrl | string |
Dirección URL del incidente en el que se combinó el incidente actual |
|
|
Tácticas de incidentes
|
Incident Tactics | string |
Representa un elemento de táctica asociado al incidente. |
|
|
Técnicas de incidente
|
techniques | array of string |
Las técnicas asociadas a las tácticas del incidente |
|
|
Clasificación de incidentes
|
classification | string |
Motivo por el que se cerró el incidente |
|
|
Comentario de clasificación de incidentes
|
classificationComment | string |
Describe el motivo por el que se cerró el incidente. |
|
|
Motivo de clasificación de incidentes
|
classificationReason | string |
Motivo de clasificación con el que se cerró el incidente |
|
|
Hora utc de creación de incidentes
|
createdTimeUtc | date-time |
Hora en que se creó el incidente |
|
|
Descripción del incidente
|
description | string |
Descripción del incidente |
|
|
Hora UTC de la primera actividad del incidente
|
firstActivityTimeUtc | date-time |
Hora de la primera actividad del incidente |
|
|
Dirección URL del incidente
|
incidentUrl | string |
Dirección URL de vínculo profundo al incidente en Azure Portal |
|
|
Id. de incidente del proveedor
|
providerIncidentId | string |
Identificador de incidente asignado por el proveedor de incidentes |
|
|
Identificador de Incident Sentinel
|
incidentNumber | integer |
Número secuencial que se usa para identificar el incidente en Microsoft Sentinel. |
|
|
Hora UTC de la última actividad del incidente
|
lastActivityTimeUtc | date-time |
Hora de la última actividad del incidente |
|
|
Gravedad del incidente
|
severity | string |
Gravedad del incidente |
|
|
Estado del incidente
|
status | string |
Estado del incidente |
|
|
Título del incidente
|
title | string |
Título del incidente |
|
|
Nombre
|
labelName | True | string |
Nombre de la etiqueta |
|
Tipo
|
labelType | string |
Tipo de la etiqueta |
|
|
Hora UTC de última modificación del incidente
|
lastModifiedTimeUtc | date-time |
La última vez que se actualizó el incidente |
|
|
Correo Electrónico
|
string |
Correo electrónico del usuario al que se asigna el incidente. |
||
|
Asignado a
|
assignedTo | string |
Nombre del usuario al que se asigna el incidente. (campo assignedTo) |
|
|
ObjectId (identificador de objeto)
|
objectId | uuid |
Identificador de objeto del usuario al que se asigna el incidente. |
|
|
Nombre principal del usuario
|
userPrincipalName | string |
Nombre principal de usuario del usuario al que se asigna el incidente. |
|
|
Identificadores de regla analítica relacionadas con incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de identificadores de recursos de reglas analíticas relacionadas con el incidente |
|
|
identificación
|
id | string |
Identificador completo de ARM del comentario. |
|
|
Nombre
|
name | string |
Nombre arm del comentario (GUID) |
|
|
Propiedades
|
properties |
Representa json de propiedades de comentario de incidentes. |
Devoluciones
Representa un marcador en Azure Security Insights.
- Body
- Bookmark
Marcadores: eliminar un marcador
Marcadores: eliminar un marcador
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificar id. de marcador
|
bookmarkId | True | string |
Identificador del marcador |
Devoluciones
- response
- string
Marcadores: obtener todos los marcadores
Marcadores: obtener todos los marcadores de un área de trabajo determinada
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificar el número de marcadores
|
numberOfBookmarks | True | integer |
Número de marcadores que se van a devolver. 0 o negativo para devolver todos los marcadores |
Devoluciones
Enumera todos los marcadores.
- Body
- BookmarkList
Marcadores: obtener un marcador
Marcadores: obtención de marcadores por identificador
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Especificar id. de marcador
|
bookmarkId | True | string |
Identificador del marcador |
Devoluciones
Representa un marcador en Azure Security Insights.
- Body
- Bookmark
Marcar una tarea como completada
Marcar una tarea como completada
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de ARM de tarea
|
taskArmId | True | string |
Id. de ARM de tarea |
Devoluciones
Representa un elemento de tarea de incidente
- Tarea incidente
- IncidentTask
Obtener incidente
Obtención de un incidente mediante el identificador de ARM
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de ARM de incidente
|
incidentArmId | True | string |
Identificador de ARM de incidente |
Devoluciones
Representa un incidente en Azure Security Insights.
- Body
- Incident
Quitar etiquetas del incidente (en desuso) [EN DESUSO]
Quita las etiquetas del incidente seleccionado.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Especificación del identificador de suscripción
|
subscriptionId | True | string |
Identificador de suscripción |
|
Especificación del grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar el identificador del área de trabajo
|
workspaceId | True | string |
Id. del área de trabajo |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta o incidente
|
id | True | string |
Proporcione el número de incidente o el identificador de alerta. |
|
label
|
Label | True | string |
label |
Devoluciones
- response
- string
Desencadenadores
| Alerta de Microsoft Sentinel |
Cuando se desencadena una respuesta a una alerta de Microsoft Sentinel. Este cuaderno de estrategias se desencadena mediante una regla de análisis cuando se crea una nueva alerta o se desencadena manualmente. El cuaderno de estrategias recibe la alerta como entrada. |
| Cuando se desencadena una respuesta a una alerta de Microsoft Sentinel [EN DESUSO] |
Cuando se desencadena una respuesta a una alerta de Microsoft Sentinel. Este cuaderno de estrategias debe desencadenarse mediante Microsoft Sentinel En tiempo real o desde Azure |
| Entidad de Microsoft Sentinel |
Ejecución del cuaderno de estrategias en la entidad de Microsoft Sentinel |
| Incidente de Microsoft Sentinel |
Cuando se desencadena una respuesta a un incidente de Microsoft Sentinel. Este cuaderno de estrategias se desencadena mediante una regla de automatización cuando se crea o actualiza un nuevo incidente. El cuaderno de estrategias recibe el incidente de Microsoft Sentinel como entrada, incluidas las alertas y las entidades. |
Alerta de Microsoft Sentinel
Cuando se desencadena una respuesta a una alerta de Microsoft Sentinel. Este cuaderno de estrategias se desencadena mediante una regla de análisis cuando se crea una nueva alerta o se desencadena manualmente. El cuaderno de estrategias recibe la alerta como entrada.
Devoluciones
- Body
- Alert
Cuando se desencadena una respuesta a una alerta de Microsoft Sentinel [EN DESUSO]
Cuando se desencadena una respuesta a una alerta de Microsoft Sentinel. Este cuaderno de estrategias debe desencadenarse mediante Microsoft Sentinel En tiempo real o desde Azure
Devoluciones
- Body
- Alert
Entidad de Microsoft Sentinel
Ejecución del cuaderno de estrategias en la entidad de Microsoft Sentinel
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Tipo de entidad
|
entityType | True | string |
Tipo de entidad |
Devoluciones
Incidente de Microsoft Sentinel
Cuando se desencadena una respuesta a un incidente de Microsoft Sentinel. Este cuaderno de estrategias se desencadena mediante una regla de automatización cuando se crea o actualiza un nuevo incidente. El cuaderno de estrategias recibe el incidente de Microsoft Sentinel como entrada, incluidas las alertas y las entidades.
Devoluciones
Definiciones
UploadApiValidationErrors
Respuesta de la API Uplaod de inteligencia sobre amenazas. Estos son errores para objetos no válidos en el cuerpo de la solicitud.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
Respuesta de los indicadores uplaod de inteligencia sobre amenazas.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Lista de cuentas asociadas a la alerta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Lista de cuentas asociadas a la alerta |
Cuenta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Nombre
|
Name | string |
Nombre de la cuenta |
|
Dominio NT
|
NTDomain | string |
Nombre de dominio NETBIOS tal como aparece en el formato de alerta |
|
DnsDomain
|
DnsDomain | string |
Nombre DNS de dominio completo |
|
Sufijo UPN
|
UPNSuffix | string |
Sufijo de nombre principal de usuario |
|
SID
|
Sid | string |
Identificador de seguridad de la cuenta, por ejemplo, S-1-5-18 |
|
Id. de inquilino de Microsoft Entra
|
AadTenantId | string |
Identificador de inquilino de Microsoft Entra, si se conoce |
|
Id. de usuario de Microsoft Entra ID
|
AadUserId | string |
Identificador de usuario de Microsoft Entra, si se conoce |
|
PUID
|
PUID | string |
Identificador de usuario de Microsoft Entra ID Passport, si se conoce |
|
Está unido a un dominio
|
IsDomainJoined | boolean |
Determina si se trata de una cuenta de dominio. |
|
ObjectGuid
|
ObjectGuid | string |
El atributo objectGUID es un atributo de valor único que es el identificador único del objeto, asignado por el identificador de Entra de Microsoft. |
BatchResponseUrl
Lista de direcciones URL asociadas a la alerta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Direcciones web URL
|
URLs | array of UrlEntity |
Lista de direcciones URL asociadas a la alerta |
UrlEntity
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
URL
|
Url | string |
BatchResponseHost
Lista de hosts asociados a la alerta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Lista de hosts asociados a la alerta |
Host
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Dominio DNS
|
DnsDomain | string |
Dominio DNS al que pertenece este host |
|
Dominio NT
|
NTDomain | string |
Dominio NT al que pertenece este host |
|
Hostname
|
HostName | string |
Nombre de host sin el sufijo de dominio |
|
NetBiosName
|
NetBiosName | string |
Nombre de host (pre-windows2000) |
|
OMSAgentID
|
OMSAgentID | string |
Identificador del agente de OMS, si el host tiene instalado el agente de OMS. |
|
OSFamily
|
OSFamily | string |
Uno de los siguientes valores: Linux, Windows, Android, IOS |
|
Versión del Sistema Operativo
|
OSVersion | string |
Representación de texto libre del sistema operativo |
|
Está unido a un dominio
|
IsDomainJoined | boolean |
Determina si este host pertenece a un dominio |
|
AzureID
|
AzureID | string |
Identificador de recurso de Azure de la máquina virtual, si se conoce |
BatchResponseIP
Lista de direcciones IP asociadas a la alerta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Ips
|
IPs | array of IP |
Lista de direcciones IP asociadas a la alerta |
IP
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Dirección
|
Address | string |
Dirección IP |
BatchResponseDNS
Lista de dominios DNS asociados a la alerta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Dominios DNS
|
Dnsresolutions | array of DNS |
Lista de dominios DNS asociados a la alerta |
DNS
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Nombre de dominio
|
DomainName | string |
Nombre del registro DNS asociado a la alerta |
BatchResponseFileHash
Lista de hashes de archivo asociados a la alerta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
Lista de hashes de archivo asociados a la alerta |
FileHash
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Importancia
|
Value | string |
Valor hash de archivo |
|
Algoritmo
|
Algorithm | string |
Tipos de algoritmo hash de archivo |
OldIncident
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Propiedades
|
properties | OldIncidentProperties |
OldIncidentProperties
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Estado
|
Status | string |
Estado del incidente |
|
Etiquetas
|
Labels | array of |
Etiquetas del incidente |
|
Title
|
Title | string |
Título del incidente |
|
Description
|
Description | string |
Descripción del incidente |
|
Hora de finalización Utc
|
EndTimeUtc | string |
Hora en que finalizó el incidente |
|
Hora de inicio Utc
|
StartTimeUtc | string |
Hora de inicio del incidente |
|
Hora utc de última actualización
|
LastUpdatedTimeUtc | string |
La hora de actualización del incidente |
|
Number
|
CaseNumber | string |
Número del incidente |
|
Hora utc de creación
|
CreatedTimeUtc | string |
Hora en que se creó el incidente |
|
Severity
|
Severity | string |
Gravedad del incidente |
|
Identificadores de alerta relacionados
|
RelatedAlertIds | array of |
Identificadores de alerta relacionados del incidente |
IncidentAdditionalData
Contenedor de propiedades de datos adicionales para incidentes.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de alertas de incidentes
|
alertsCount | integer |
El número de alertas del incidente |
|
Recuento de marcadores de incidentes
|
bookmarksCount | integer |
Número de marcadores del incidente |
|
Recuento de comentarios de incidentes
|
commentsCount | integer |
Número de comentarios en el incidente |
|
Nombres de producto de alerta de incidentes
|
alertProductNames | array of string |
Lista de nombres de producto de alertas en el incidente |
|
Dirección URL del incidente del proveedor
|
providerIncidentUrl | string |
Dirección URL del incidente en el portal de Microsoft Defender |
|
Número de incidente combinado
|
mergedIncidentNumber | string |
Número de incidente del incidente en el que se combinó el incidente actual |
|
Dirección URL de incidente combinada
|
mergedIncidentUrl | string |
Dirección URL del incidente en el que se combinó el incidente actual |
|
Tácticas de incidentes
|
tactics | array of AttackTactic |
Tácticas asociadas al incidente |
|
Técnicas de incidente
|
techniques | array of string |
Las técnicas asociadas a las tácticas del incidente |
IncidentLabel
Representa una etiqueta de incidente
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Nombre
|
labelName | string |
Nombre de la etiqueta |
|
Tipo
|
labelType | string |
Tipo de la etiqueta |
IncidentOwnerInfo
A la información sobre el usuario a la que se asigna un incidente
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Correo Electrónico
|
string |
Correo electrónico del usuario al que se asigna el incidente. |
|
|
Asignado a
|
assignedTo | string |
Nombre del usuario al que se asigna el incidente. (campo assignedTo) |
|
ObjectId (identificador de objeto)
|
objectId | uuid |
Identificador de objeto del usuario al que se asigna el incidente. |
|
Nombre principal del usuario
|
userPrincipalName | string |
Nombre principal de usuario del usuario al que se asigna el incidente. |
AttackTactic
Representa un elemento de táctica asociado al incidente.
Representa un elemento de táctica asociado al incidente.
AlertSeverity
HuntingBookmark
Representa un elemento de marcador de búsqueda
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Id. de ARM
|
id | string |
Identificador completo de ARM del marcador. |
|
Nombre de ARM
|
name | string |
Nombre arm del marcador (GUID) |
|
Propiedades
|
properties | HuntingBookmarkProperties |
Representa las propiedades de HuntingBookmark JSON. |
Alerta de Seguridad
Representa un elemento de alerta de seguridad
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Id. de ARM
|
id | string |
Identificador completo de ARM de la alerta. |
|
Nombre de ARM
|
name | string |
Nombre arm de la alerta (GUID) |
|
Propiedades
|
properties | SecurityAlertProperties |
Representa json de propiedades de alerta. |
HuntingBookmarkProperties
Representa las propiedades de HuntingBookmark JSON.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Nombre de pantalla
|
displayName | string |
Nombre para mostrar del marcador |
|
Creado
|
created | date-time |
Hora de creación del marcador |
|
Actualizado
|
updated | date-time |
Hora actualizada del marcador |
|
Creado por información de usuario
|
createdBy | CreatedByUserInfo |
Representa json de propiedades UserInfo. |
|
Actualizado por información de usuario
|
updatedBy | UpdatedByUserInfo |
Representa json de propiedades UserInfo. |
|
Hora del evento
|
eventTime | date-time |
Hora del evento del marcador |
|
Notas
|
notes | string |
Notas del marcador |
|
Etiquetas
|
labels | array of string |
Etiquetas del marcador |
|
Query
|
query | string |
Consulta del marcador |
|
Resultado de la consulta
|
queryResult | string |
Resultado de la consulta del marcador |
SecurityAlertProperties
Representa json de propiedades de alerta.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Nombre amigable
|
friendlyName | string |
Nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
|
Nombre de pantalla
|
alertDisplayName | string |
Nombre para mostrar de la alerta |
|
Tipo
|
alertType | string |
En la alerta de programación, este es el identificador de la regla de análisis. |
|
URI
|
alertLink | string |
Este es el vínculo a la alerta en el proveedor orignal. |
|
Entidad en peligro
|
compromisedEntity | string |
Nombre mostrado de la entidad principal sobre la que se informa. |
|
Nivel de confianza
|
confidenceLevel | string |
Nivel de confianza de esta alerta. |
|
Description
|
description | string |
Descripción de la alerta. |
|
Hora de finalización UTC
|
endTimeUtc | date-time |
La hora de finalización del impacto de la alerta (la hora del último evento que contribuye a la alerta). |
|
ID de proveedor
|
providerAlertId | string |
Identificador de la alerta dentro del producto que generó la alerta. |
|
Nombre del producto
|
productName | string |
Nombre del producto que publicó esta alerta. |
|
Pasos de reasignación
|
remediationSteps | array of string |
Lista de elementos de acción manuales que se van a realizar para corregir la alerta. |
|
Severity
|
severity | AlertSeverity |
Gravedad de la alerta |
|
Hora de comienzo
|
startTimeUtc | date-time |
La hora de inicio del impacto de la alerta (la hora del primer evento que contribuye a la alerta). |
|
Estado
|
status | string |
Estado del ciclo de vida de la alerta. |
|
Identificador del sistema
|
systemAlertId | string |
Contiene el identificador de producto de la alerta del producto. |
|
Tactics
|
tactics | array of AttackTactic |
Lista de las tácticas de alerta. |
|
Hora de generación
|
timeGenerated | date-time |
Hora en que se generó la alerta. |
|
Query
|
additionalData.Query | string |
Consulta que se usa para decidir si se debe desencadenar la alerta (solo programar alerta). |
|
Hora de inicio de la consulta
|
additionalData.Query Start Time UTC | string |
Hora de inicio de la consulta que se usa para decidir si se debe desencadenar la alerta (solo programar alerta). |
|
Hora de finalización de la consulta
|
additionalData.Query End Time UTC | string |
Hora de inicio de la consulta que se usa para decidir si se debe desencadenar la alerta (solo programar alerta). |
|
Operador de consulta
|
additionalData.Trigger Operator | string |
Operador que se usa para decidir si se debe desencadenar la alerta (solo programar alerta). |
|
Umbral de consulta
|
additionalData.Trigger Threshold | string |
Umbral que se usa para decidir si se debe desencadenar la alerta (solo programar alerta). |
|
Detalles personalizados
|
additionalData.Custom Details | string |
Detalles de eventos personalizados agregados a la alerta por las reglas de análisis (solo alertas programadas). Para usar este campo, siga con la acción "Analizar JSON" y use una carga de ejemplo de la alerta existente para simular el esquema. |
|
Identificadores de recursos
|
resourceIdentifiers | array of object |
Identificadores de recursos de la alerta |
|
items
|
resourceIdentifiers | object |
Representa un identificador de recurso de alerta. |
Incidente
Representa un incidente en Azure Security Insights.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Identificador de ARM del incidente
|
id | string |
Identificador completo de ARM del incidente. |
|
Nombre de ARM del incidente
|
name | string |
Nombre arm del incidente (GUID) |
|
Propiedades
|
properties | IncidentProperties |
Representa el JSON de propiedades del incidente. |
FullIncident
Obtención de un incidente mediante el identificador de ARM
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Identificador de ARM del incidente
|
id | string |
Identificador completo de ARM del incidente. |
|
Nombre de ARM del incidente
|
name | string |
Nombre arm del incidente (GUID) |
|
Propiedades
|
properties | FullIncidentProperties |
Representa el JSON de propiedades del incidente. |
IncidentProperties
Representa el JSON de propiedades del incidente.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
additionalData
|
additionalData | IncidentAdditionalData |
Contenedor de propiedades de datos adicionales para incidentes. |
|
Clasificación de incidentes
|
classification | string |
Motivo por el que se cerró el incidente |
|
Comentario de clasificación de incidentes
|
classificationComment | string |
Describe el motivo por el que se cerró el incidente. |
|
Motivo de clasificación de incidentes
|
classificationReason | string |
Motivo de clasificación con el que se cerró el incidente |
|
Hora utc de creación de incidentes
|
createdTimeUtc | date-time |
Hora en que se creó el incidente |
|
Descripción del incidente
|
description | string |
Descripción del incidente |
|
Hora UTC de la primera actividad del incidente
|
firstActivityTimeUtc | date-time |
Hora de la primera actividad del incidente |
|
Dirección URL del incidente
|
incidentUrl | string |
Dirección URL de vínculo profundo al incidente en Azure Portal |
|
Id. de incidente del proveedor
|
providerIncidentId | string |
Identificador de incidente asignado por el proveedor de incidentes |
|
Identificador de Incident Sentinel
|
incidentNumber | integer |
Número secuencial que se usa para identificar el incidente en Microsoft Sentinel. |
|
Hora UTC de la última actividad del incidente
|
lastActivityTimeUtc | date-time |
Hora de la última actividad del incidente |
|
Gravedad del incidente
|
severity | string |
Gravedad del incidente |
|
Estado del incidente
|
status | string |
Estado del incidente |
|
Título del incidente
|
title | string |
Título del incidente |
|
Etiquetas de incidente
|
labels | array of IncidentLabel |
Lista de etiquetas asociadas a este incidente |
|
Hora UTC de última modificación del incidente
|
lastModifiedTimeUtc | date-time |
La última vez que se actualizó el incidente |
|
Propietario del incidente
|
owner | IncidentOwnerInfo |
A la información sobre el usuario a la que se asigna un incidente |
|
Identificadores de regla analítica relacionadas con incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de identificadores de recursos de reglas analíticas relacionadas con el incidente |
|
Comentarios
|
Comments | array of IncidentComment |
Lista de comentarios sobre este incidente. |
FullIncidentProperties
Representa el JSON de propiedades del incidente.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
additionalData
|
additionalData | IncidentAdditionalData |
Contenedor de propiedades de datos adicionales para incidentes. |
|
Clasificación de incidentes
|
classification | string |
Motivo por el que se cerró el incidente |
|
Comentario de clasificación de incidentes
|
classificationComment | string |
Describe el motivo por el que se cerró el incidente. |
|
Motivo de clasificación de incidentes
|
classificationReason | string |
Motivo de clasificación con el que se cerró el incidente |
|
Hora utc de creación de incidentes
|
createdTimeUtc | date-time |
Hora en que se creó el incidente |
|
Descripción del incidente
|
description | string |
Descripción del incidente |
|
Hora UTC de la primera actividad del incidente
|
firstActivityTimeUtc | date-time |
Hora de la primera actividad del incidente |
|
Dirección URL del incidente
|
incidentUrl | string |
Dirección URL de vínculo profundo al incidente en Azure Portal |
|
Id. de incidente del proveedor
|
providerIncidentId | string |
Identificador de incidente asignado por el proveedor de incidentes |
|
Identificador de Incident Sentinel
|
incidentNumber | integer |
Número secuencial que se usa para identificar el incidente en Microsoft Sentinel. |
|
Hora UTC de la última actividad del incidente
|
lastActivityTimeUtc | date-time |
Hora de la última actividad del incidente |
|
Gravedad del incidente
|
severity | string |
Gravedad del incidente |
|
Estado del incidente
|
status | string |
Estado del incidente |
|
Título del incidente
|
title | string |
Título del incidente |
|
Etiquetas de incidente
|
labels | array of IncidentLabel |
Lista de etiquetas asociadas a este incidente |
|
Hora UTC de última modificación del incidente
|
lastModifiedTimeUtc | date-time |
La última vez que se actualizó el incidente |
|
Propietario del incidente
|
owner | IncidentOwnerInfo |
A la información sobre el usuario a la que se asigna un incidente |
|
Identificadores de regla analítica relacionadas con incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de identificadores de recursos de reglas analíticas relacionadas con el incidente |
|
Comentarios
|
Comments | array of IncidentComment |
Lista de comentarios sobre este incidente. |
|
Alerts
|
Alerts | array of SecurityAlert |
Lista de alertas relacionadas con este incidente. |
|
Favoritos
|
Bookmarks | array of HuntingBookmark |
Lista de marcadores relacionados con este incidente. |
|
Entities
|
relatedEntities | string |
Lista de entidades relacionadas con el incidente, puede contener entidades de diferentes tipos |
IncidentEventNotification
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Nombres de campo actualizados
|
incidentUpdates.updatedFields | array of string |
Nombres de los campos actualizados en el incidente |
|
Hora de actualización
|
incidentUpdates.updatedTime | date-time |
Hora del evento de actualización de incidentes |
|
Fuente
|
incidentUpdates.updatedBy.source | string |
Actor que actualizó el incidente: Usuario, aplicación externa, Cuaderno de estrategias, regla de Automatización, Microsoft 365 Defender o Agrupación de alertas |
|
Nombre
|
incidentUpdates.updatedBy.name | string |
Nombre del usuario, aplicación, regla de automatización o cuaderno de estrategias que actualizó el incidente. |
|
Alertas de incidentes
|
incidentUpdates.alerts | array of SecurityAlert |
Lista de alertas agregadas a este incidente. |
|
Etiquetas de incidente
|
incidentUpdates.labels | array of IncidentLabel |
Lista de etiquetas agregadas a este incidente |
|
Comentarios sobre incidentes
|
incidentUpdates.comments | array of IncidentComment |
Lista de comentarios agregados a este incidente. |
|
Tácticas de incidentes
|
incidentUpdates.tactics | array of AttackTactic |
Tácticas asociadas al incidente |
|
Id. de suscripción
|
workspaceInfo.SubscriptionId | string |
Identificador de suscripción del área de trabajo de Microsoft Sentinel |
|
Nombre del grupo de recursos
|
workspaceInfo.ResourceGroupName | string |
El grupo de recursos del área de trabajo de Microsoft Sentinel |
|
Nombre del área de trabajo
|
workspaceInfo.WorkspaceName | string |
Nombre del área de trabajo de Microsoft Sentinel |
|
ID del espacio de trabajo
|
workspaceId | string |
Identificador del área de trabajo del incidente. |
|
objeto
|
object | FullIncident |
Obtención de un incidente mediante el identificador de ARM |
CreatedByUserInfo
Representa json de propiedades UserInfo.
Representa json de propiedades UserInfo.
UpdatedByUserInfo
Representa json de propiedades UserInfo.
Representa json de propiedades UserInfo.
Alert
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Nombre del producto
|
ProductName | string |
Nombre del producto que publicó esta alerta |
|
Tipo de alerta
|
AlertType | string |
Nombre de tipo de la alerta |
|
Hora de inicio (UTC)
|
StartTimeUtc | date-time |
Hora de inicio de la alerta, cuando se detectó el primer evento de contribución |
|
Hora de finalización (UTC)
|
EndTimeUtc | date-time |
Hora de finalización de la alerta, cuando se detectó el último evento de contribución |
|
Hora generada (UTC)
|
TimeGenerated | date-time |
Hora en que se generó la alerta |
|
Severity
|
Severity | string |
Gravedad de la alerta tal como lo notifica el proveedor. |
|
Identificador de alerta del proveedor
|
ProviderAlertId | string |
Identificador único para la instancia de alerta específica establecida por el proveedor |
|
Identificador de alerta del sistema
|
SystemAlertId | string |
Identificador único de la instancia de alerta específica |
|
Nombre para mostrar de alerta
|
AlertDisplayName | string |
Nombre para mostrar de la alerta |
|
Description
|
Description | string |
Descripción de alerta |
|
Entities
|
Entities | string |
Una lista de entidades relacionadas con la alerta puede incluir varios tipos de entidades. |
|
Propiedades extendidas
|
ExtendedProperties | string |
Lista de campos que se mostrarán al usuario |
|
ID del espacio de trabajo
|
WorkspaceId | string |
Identificador del área de trabajo de la alerta |
|
Grupo de recursos
|
WorkspaceResourceGroup | string |
grupo de recursos de alerta de la alerta |
|
Id. de suscripción
|
WorkspaceSubscriptionId | string |
Identificador de la suscripción de la alerta |
|
Vínculos extendidos
|
ExtendedLinks | array of object |
Una lista de vínculos relacionados con la alerta puede incluir varios tipos. |
IncidentComment
Representa un elemento de comentario de incidente
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
identificación
|
id | string |
Identificador completo de ARM del comentario. |
|
Nombre
|
name | string |
Nombre arm del comentario (GUID) |
|
Propiedades
|
properties | IncidentCommentProperties |
Representa json de propiedades de comentario de incidentes. |
IncidentCommentProperties
Representa json de propiedades de comentario de incidentes.
Representa json de propiedades de comentario de incidentes.
IncidentTask
Representa un elemento de tarea de incidente
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
identificación
|
id | string |
Identificador completo de ARM de la tarea. |
|
Nombre
|
name | string |
Nombre arm de la tarea |
|
Propiedades
|
properties | IncidentTaskProperties |
Representa las propiedades de la tarea de incidente. |
IncidentTaskProperties
Representa las propiedades de la tarea de incidente.
Representa las propiedades de la tarea de incidente.
IncidentRelation
Representa una relación de incidentes
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
identificación
|
id | string |
Identificador completo de ARM de la relación de incidentes. |
|
Nombre
|
name | string |
Nombre de ARM de la relación de incidentes |
|
Propiedades
|
properties | IncidentRelationProperties |
Representa un JSON de propiedades de relación de incidentes. |
IncidentRelationProperties
Representa un JSON de propiedades de relación de incidentes.
Representa un JSON de propiedades de relación de incidentes.
Watchlist
Representa una lista de reproducción en Azure Security Insights.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Propiedades
|
properties | WatchlistProperties |
Describe las propiedades de la lista de reproducción |
Lista de reproducciónV2
Representa una lista de reproducción en Azure Security Insights.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Propiedades
|
properties | WatchlistPropertiesV2 |
Describe las propiedades de la lista de reproducción |
WatchlistProperties
Describe las propiedades de la lista de reproducción
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
Identificador (guid) de la lista de reproducción |
|
Nombre para mostrar
|
displayName | string |
Nombre para mostrar de la lista de reproducción |
|
provider
|
provider | string |
Proveedor de la lista de reproducción |
|
source
|
source | string |
Origen de la lista de reproducción |
|
creado
|
created | date-time |
Hora en que se creó la lista de reproducción |
|
Actualizado
|
updated | date-time |
La última vez que se actualizó la lista de reproducción |
|
createdBy
|
createdBy | UserInfo |
Información del usuario que realizó alguna acción |
|
actualizadoPor
|
updatedBy | UserInfo |
Información del usuario que realizó alguna acción |
|
descripción
|
description | string |
Descripción de la lista de reproducción |
|
watchlistType
|
watchlistType | string |
Tipo de la lista de reproducción |
|
watchlistAlias
|
watchlistAlias | string |
Alias de la lista de reproducción |
|
isDeleted
|
isDeleted | boolean |
Marca que indica si se elimina o no la lista de reproducción. |
|
labels
|
labels | array of Label |
Lista de etiquetas relevantes para esta lista de reproducción |
|
defaultDuration
|
defaultDuration | duration |
Duración predeterminada de una lista de reproducción (en formato de duración ISO 8601) |
|
tenantId
|
tenantId | string |
TenantId al que pertenece la lista de reproducción. |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Número de líneas de un contenido csv/tsv que se omitirá antes del encabezado. |
|
rawContent
|
rawContent | string |
Contenido sin procesar que representa los elementos de la lista de reproducción que se van a crear. En el caso del tipo de contenido csv/tsv, es el contenido del archivo que analizará el punto de conexión. |
|
itemsSearchKey
|
itemsSearchKey | string |
La clave de búsqueda se usa para optimizar el rendimiento de las consultas al usar listas de reproducción para combinaciones con otros datos. Por ejemplo, habilite una columna con direcciones IP para que sea el campo SearchKey designado y, a continuación, use este campo como campo de clave al unirse a otros datos de eventos por dirección IP. |
|
tipo de contenido
|
contentType | string |
Tipo de contenido del contenido sin procesar. Ejemplo: text/csv o text/tsv |
|
uploadStatus
|
uploadStatus | string |
El estado de la carga de la lista de reproducción: Nuevo, InProgress o Completado. Por favor, nota: Cuando el estado de carga de una lista de seguimiento es igual a En progreso, la lista de seguimiento no se puede eliminar |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
El número de elementos de la lista de reproducción en la lista de reproducción |
WatchlistPropertiesV2
Describe las propiedades de la lista de reproducción
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
Identificador (guid) de la lista de reproducción |
|
Nombre para mostrar
|
displayName | string |
Nombre para mostrar de la lista de reproducción |
|
provider
|
provider | string |
Proveedor de la lista de reproducción |
|
source
|
source | string |
El nombre de archivo de la lista de reproducción, denominado "source" |
|
sourceType
|
sourceType | string |
SourceType de la lista de reproducción |
|
creado
|
created | date-time |
Hora en que se creó la lista de reproducción |
|
Actualizado
|
updated | date-time |
La última vez que se actualizó la lista de reproducción |
|
createdBy
|
createdBy | UserInfo |
Información del usuario que realizó alguna acción |
|
actualizadoPor
|
updatedBy | UserInfo |
Información del usuario que realizó alguna acción |
|
descripción
|
description | string |
Descripción de la lista de reproducción |
|
watchlistType
|
watchlistType | string |
Tipo de la lista de reproducción |
|
watchlistAlias
|
watchlistAlias | string |
Alias de la lista de reproducción |
|
isDeleted
|
isDeleted | boolean |
Marca que indica si se elimina o no la lista de reproducción. |
|
labels
|
labels | array of Label |
Lista de etiquetas relevantes para esta lista de reproducción |
|
defaultDuration
|
defaultDuration | duration |
Duración predeterminada de una lista de reproducción (en formato de duración ISO 8601) |
|
tenantId
|
tenantId | string |
TenantId al que pertenece la lista de reproducción. |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Número de líneas de un contenido csv/tsv que se omitirá antes del encabezado. |
|
rawContent
|
rawContent | string |
Contenido sin procesar que representa los elementos de la lista de reproducción que se van a crear. En el caso del tipo de contenido csv/tsv, es el contenido del archivo que analizará el punto de conexión. |
|
itemsSearchKey
|
itemsSearchKey | string |
La clave de búsqueda se usa para optimizar el rendimiento de las consultas al usar listas de reproducción para combinaciones con otros datos. Por ejemplo, habilite una columna con direcciones IP para que sea el campo SearchKey designado y, a continuación, use este campo como campo de clave al unirse a otros datos de eventos por dirección IP. |
|
tipo de contenido
|
contentType | string |
Tipo de contenido del contenido sin procesar. Ejemplo: text/csv o text/tsv |
|
uploadStatus
|
uploadStatus | string |
El estado de la carga de la lista de reproducción: Nuevo, InProgress o Completado. Por favor, nota: Cuando el estado de carga de una lista de seguimiento es igual a En progreso, la lista de seguimiento no se puede eliminar |
WatchlistItemList
Enumera todos los elementos de la lista de reproducción.
Enumera todos los elementos de la lista de reproducción.
WatchlistItem
Representa un watchlistItem en Azure Security Insights.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
WatchlistItem Id. de ARM completo
|
id | string |
Identificador completo del elemento de lista de reproducción. |
|
WatchlistItem Unique ID
|
name | string |
Corresponde a WatchlistItem ID (GUID) |
|
WatchlistItem etag
|
etag | string |
Corresponde a etag (GUID) |
|
Tipo WatchlistItem
|
type | string |
Corresponde al tipo WatchlistItem. |
|
value
|
value | object |
Detalles de la entidad de elemento de lista de seguimiento. |
Bookmark
Representa un marcador en Azure Security Insights.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Propiedades
|
properties | BookmarkProperties |
Describe las propiedades del marcador. |
BookmarkList
Enumera todos los marcadores.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
nextLink
|
nextLink | string |
URL para obtener el siguiente conjunto de casos. |
|
value
|
value | array of Bookmark |
Matriz de marcadores. |
BookmarkProperties
Describe las propiedades del marcador.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
creado
|
created | date-time |
Hora en que se creó el marcador |
|
createdBy
|
createdBy | UserInfo |
Información del usuario que realizó alguna acción |
|
Nombre para mostrar
|
displayName | string |
Nombre para mostrar del marcador |
|
labels
|
labels | array of Label |
Lista de etiquetas relevantes para este marcador |
|
notas
|
notes | string |
Notas del marcador |
|
query
|
query | string |
Consulta del marcador. |
|
queryResult
|
queryResult | string |
Resultado de la consulta del marcador. |
|
Actualizado
|
updated | date-time |
La última vez que se actualizó el marcador |
|
actualizadoPor
|
updatedBy | UserInfo |
Información del usuario que realizó alguna acción |
|
hora del evento
|
eventTime | date-time |
Hora del evento del marcador |
|
queryStartTime
|
queryStartTime | date-time |
Hora de inicio de la consulta |
|
queryEndTime
|
queryEndTime | date-time |
Hora de finalización de la consulta |
|
incidentInfo
|
incidentInfo | Incident |
Representa un incidente en Azure Security Insights. |
Información de usuario
Información del usuario que realizó alguna acción
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Correo electrónico
|
string |
El correo electrónico del usuario. |
|
|
nombre
|
name | string |
Nombre del usuario. |
|
objectId
|
objectId | uuid |
Identificador de objeto del usuario. |
Etiqueta
Etiqueta que se usará para etiquetar y filtrar.
Etiqueta que se usará para etiquetar y filtrar.
cuerda / cadena
Este es el tipo de datos básico "string".