Incidents - Get
Recibe un incidente determinado.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2025-09-01Parámetros de identificador URI
| Nombre | En | Requerido | Tipo | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
Id. de incidente |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
|
subscription
|
path | True |
string (uuid) |
Identificador de la suscripción de destino. El valor debe ser un UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
Nombre del área de trabajo. |
|
api-version
|
query | True |
string minLength: 1 |
Versión de API que se usará para la operación. |
Respuestas
| Nombre | Tipo | Description |
|---|---|---|
| 200 OK |
OK, Operación completada con éxito |
|
| Other Status Codes |
Respuesta de error que describe por qué se produjo un error en la operación. |
Seguridad
azure_auth
Flujo de OAuth2 de Azure Active Directory
Tipo:
oauth2
Flujo:
implicit
Dirección URL de autorización:
https://login.microsoftonline.com/common/oauth2/authorize
Ámbitos
| Nombre | Description |
|---|---|
| user_impersonation | suplantar la cuenta de usuario |
Ejemplos
Get an incident.
Solicitud de ejemplo
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-09-01
Respuesta de muestra
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "InaccurateData",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"InitialAccess",
"Persistence"
]
}
}
}Definiciones
| Nombre | Description |
|---|---|
|
Attack |
La gravedad de las alertas creadas por esta regla de alertas. |
|
Cloud |
Estructura de respuesta de error. |
|
Cloud |
Detalles del error. |
|
created |
Tipo de identidad que creó el recurso. |
| Incident |
Representa un incidente en Azure Security Insights. |
|
Incident |
Bolsa de propiedad de datos adicionales del incidente. |
|
Incident |
Motivo por el que se cerró el incidente |
|
Incident |
Motivo de clasificación con el que se cerró el incidente |
|
Incident |
Representa una etiqueta de incidente |
|
Incident |
El tipo de etiqueta |
|
Incident |
A la información sobre el usuario a la que se asigna un incidente |
|
Incident |
Gravedad del incidente |
|
Incident |
Estado del incidente |
|
Owner |
Tipo del propietario al que se asigna el incidente. |
|
system |
Metadatos relativos a la creación y última modificación del recurso. |
AttackTactic
La gravedad de las alertas creadas por esta regla de alertas.
| Valor | Description |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
Estructura de respuesta de error.
| Nombre | Tipo | Description |
|---|---|---|
| error |
Datos de error |
CloudErrorBody
Detalles del error.
| Nombre | Tipo | Description |
|---|---|---|
| code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
| message |
string |
Mensaje que describe el error, diseñado para ser adecuado para mostrarse en una interfaz de usuario. |
createdByType
Tipo de identidad que creó el recurso.
| Valor | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Incident
Representa un incidente en Azure Security Insights.
| Nombre | Tipo | Description |
|---|---|---|
| etag |
string |
Etag del recurso de Azure |
| id |
string (arm-id) |
Identificador de recurso completo para el recurso. Por ejemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
Nombre del recurso |
| properties.additionalData |
Datos adicionales sobre el incidente |
|
| properties.classification |
Motivo por el que se cerró el incidente |
|
| properties.classificationComment |
string |
Describe el motivo por el que se cerró el incidente. |
| properties.classificationReason |
Motivo de clasificación con el que se cerró el incidente |
|
| properties.createdTimeUtc |
string (date-time) |
La hora en que se creó el incidente |
| properties.description |
string |
Descripción del incidente |
| properties.firstActivityTimeUtc |
string (date-time) |
Hora de la primera actividad del incidente |
| properties.incidentNumber |
integer (int32) |
Un número secuencial |
| properties.incidentUrl |
string |
La dirección URL de vínculo profundo al incidente en Azure Portal |
| properties.labels |
Lista de etiquetas relevantes para este incidente |
|
| properties.lastActivityTimeUtc |
string (date-time) |
Hora de la última actividad del incidente |
| properties.lastModifiedTimeUtc |
string (date-time) |
La última vez que se actualizó el incidente |
| properties.owner |
Describe un usuario al que se asigna el incidente. |
|
| properties.providerIncidentId |
string |
Identificador de incidente asignado por el proveedor de incidentes |
| properties.providerName |
string |
Nombre del proveedor de origen que generó el incidente. |
| properties.relatedAnalyticRuleIds |
string[] (arm-id) |
Lista de identificadores de recursos de reglas analíticas relacionadas con el incidente |
| properties.severity |
Gravedad del incidente |
|
| properties.status |
Estado del incidente |
|
| properties.title |
string |
Título del incidente |
| systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
| type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Bolsa de propiedad de datos adicionales del incidente.
| Nombre | Tipo | Description |
|---|---|---|
| alertProductNames |
string[] |
Lista de nombres de productos de alertas en el incidente |
| alertsCount |
integer (int32) |
El número de alertas en el incidente |
| bookmarksCount |
integer (int32) |
El número de marcadores en el incidente |
| commentsCount |
integer (int32) |
El número de comentarios en el incidente |
| providerIncidentUrl |
string |
La dirección URL del incidente del proveedor al incidente en el portal de Microsoft 365 Defender |
| tactics |
Las tácticas asociadas con el incidente |
IncidentClassification
Motivo por el que se cerró el incidente
| Valor | Description |
|---|---|
| Undetermined |
La clasificación de incidentes fue indeterminada |
| TruePositive |
El incidente fue verdadero positivo |
| BenignPositive |
El incidente fue positivo benigno |
| FalsePositive |
El incidente fue falso positivo |
IncidentClassificationReason
Motivo de clasificación con el que se cerró el incidente
| Valor | Description |
|---|---|
| SuspiciousActivity |
El motivo de la clasificación fue actividad sospechosa |
| SuspiciousButExpected |
El motivo de la clasificación era sospechoso pero esperado |
| IncorrectAlertLogic |
El motivo de la clasificación fue una lógica de alerta incorrecta |
| InaccurateData |
El motivo de la clasificación fueron datos inexactos |
IncidentLabel
Representa una etiqueta de incidente
| Nombre | Tipo | Description |
|---|---|---|
| labelName |
string |
Nombre de la etiqueta |
| labelType |
El tipo de etiqueta |
IncidentLabelType
El tipo de etiqueta
| Valor | Description |
|---|---|
| User |
Etiqueta creada manualmente por un usuario |
| AutoAssigned |
Etiqueta creada automáticamente por el sistema |
IncidentOwnerInfo
A la información sobre el usuario a la que se asigna un incidente
| Nombre | Tipo | Description |
|---|---|---|
| assignedTo |
string |
Nombre del usuario al que se asigna el incidente. |
|
string |
Correo electrónico del usuario al que se asigna el incidente. |
|
| objectId |
string (uuid) |
Identificador de objeto del usuario al que se asigna el incidente. |
| ownerType |
Tipo del propietario al que se asigna el incidente. |
|
| userPrincipalName |
string |
Nombre principal de usuario del usuario al que se asigna el incidente. |
IncidentSeverity
Gravedad del incidente
| Valor | Description |
|---|---|
| High |
Alta gravedad |
| Medium |
Gravedad media |
| Low |
Gravedad baja |
| Informational |
Gravedad informativa |
IncidentStatus
Estado del incidente
| Valor | Description |
|---|---|
| New |
Un incidente activo que no se está manejando actualmente |
| Active |
Un incidente activo que se está manejando |
| Closed |
Un incidente no activo |
OwnerType
Tipo del propietario al que se asigna el incidente.
| Valor | Description |
|---|---|
| Unknown |
Se desconoce el tipo de propietario del incidente |
| User |
El tipo de propietario del incidente es un usuario de AAD |
| Group |
El tipo de propietario del incidente es un grupo de AAD |
systemData
Metadatos relativos a la creación y última modificación del recurso.
| Nombre | Tipo | Description |
|---|---|---|
| createdAt |
string (date-time) |
Marca de tiempo de creación de recursos (UTC). |
| createdBy |
string |
Identidad que creó el recurso. |
| createdByType |
Tipo de identidad que creó el recurso. |
|
| lastModifiedAt |
string (date-time) |
Marca de tiempo de la última modificación del recurso (UTC) |
| lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
| lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |