Incidents - List
Recibe todos los incidentes.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}Parámetros de identificador URI
| Nombre | En | Requerido | Tipo | Description |
|---|---|---|---|---|
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
|
subscription
|
path | True |
string (uuid) |
Identificador de la suscripción de destino. El valor debe ser un UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
Nombre del área de trabajo. |
|
api-version
|
query | True |
string minLength: 1 |
Versión de API que se usará para la operación. |
|
$filter
|
query |
string |
Filtra los resultados, en función de una condición booleana. Optional. |
|
|
$orderby
|
query |
string |
Ordena los resultados. Optional. |
|
|
$skip
|
query |
string |
Skiptoken solo se usa si una operación anterior devolvió un resultado parcial. Si una respuesta anterior contiene un elemento nextLink, el valor del elemento nextLink incluirá un parámetro skiptoken que especifica un punto de partida que se usará para las llamadas posteriores. Optional. |
|
|
$top
|
query |
integer (int32) maximum: 1000 |
Devuelve solo los primeros n resultados. Optional. |
Respuestas
| Nombre | Tipo | Description |
|---|---|---|
| 200 OK |
OK, Operación completada con éxito |
|
| Other Status Codes |
Respuesta de error que describe por qué se produjo un error en la operación. |
Seguridad
azure_auth
Flujo de OAuth2 de Azure Active Directory
Tipo:
oauth2
Flujo:
implicit
Dirección URL de autorización:
https://login.microsoftonline.com/common/oauth2/authorize
Ámbitos
| Nombre | Description |
|---|---|
| user_impersonation | suplantar la cuenta de usuario |
Ejemplos
Get all incidents.
Solicitud de ejemplo
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01&$orderby=properties/createdTimeUtc desc&$top=1
Respuesta de muestra
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}Definiciones
| Nombre | Description |
|---|---|
|
Attack |
La gravedad de las alertas creadas por esta regla de alertas. |
|
Cloud |
Estructura de respuesta de error. |
|
Cloud |
Detalles del error. |
|
created |
Tipo de identidad que creó el recurso. |
| Incident |
Representa un incidente en Azure Security Insights. |
|
Incident |
Bolsa de propiedad de datos adicionales del incidente. |
|
Incident |
Motivo por el que se cerró el incidente |
|
Incident |
Motivo de clasificación con el que se cerró el incidente |
|
Incident |
Representa una etiqueta de incidente |
|
Incident |
El tipo de etiqueta |
|
Incident |
Enumere todos los incidentes. |
|
Incident |
A la información sobre el usuario a la que se asigna un incidente |
|
Incident |
Gravedad del incidente |
|
Incident |
Estado del incidente |
|
Owner |
Tipo del propietario al que se asigna el incidente. |
|
system |
Metadatos relativos a la creación y última modificación del recurso. |
AttackTactic
La gravedad de las alertas creadas por esta regla de alertas.
| Valor | Description |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
Estructura de respuesta de error.
| Nombre | Tipo | Description |
|---|---|---|
| error |
Datos de error |
CloudErrorBody
Detalles del error.
| Nombre | Tipo | Description |
|---|---|---|
| code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
| message |
string |
Mensaje que describe el error, diseñado para ser adecuado para mostrarse en una interfaz de usuario. |
createdByType
Tipo de identidad que creó el recurso.
| Valor | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Incident
Representa un incidente en Azure Security Insights.
| Nombre | Tipo | Description |
|---|---|---|
| etag |
string |
Etag del recurso de Azure |
| id |
string (arm-id) |
Identificador de recurso completo para el recurso. Por ejemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
Nombre del recurso |
| properties.additionalData |
Datos adicionales sobre el incidente |
|
| properties.classification |
Motivo por el que se cerró el incidente |
|
| properties.classificationComment |
string |
Describe el motivo por el que se cerró el incidente. |
| properties.classificationReason |
Motivo de clasificación con el que se cerró el incidente |
|
| properties.createdTimeUtc |
string (date-time) |
La hora en que se creó el incidente |
| properties.description |
string |
Descripción del incidente |
| properties.firstActivityTimeUtc |
string (date-time) |
Hora de la primera actividad del incidente |
| properties.incidentNumber |
integer (int32) |
Un número secuencial |
| properties.incidentUrl |
string |
La dirección URL de vínculo profundo al incidente en Azure Portal |
| properties.labels |
Lista de etiquetas relevantes para este incidente |
|
| properties.lastActivityTimeUtc |
string (date-time) |
Hora de la última actividad del incidente |
| properties.lastModifiedTimeUtc |
string (date-time) |
La última vez que se actualizó el incidente |
| properties.owner |
Describe un usuario al que se asigna el incidente. |
|
| properties.providerIncidentId |
string |
Identificador de incidente asignado por el proveedor de incidentes |
| properties.providerName |
string |
Nombre del proveedor de origen que generó el incidente. |
| properties.relatedAnalyticRuleIds |
string[] (arm-id) |
Lista de identificadores de recursos de reglas analíticas relacionadas con el incidente |
| properties.severity |
Gravedad del incidente |
|
| properties.status |
Estado del incidente |
|
| properties.title |
string |
Título del incidente |
| systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
| type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Bolsa de propiedad de datos adicionales del incidente.
| Nombre | Tipo | Description |
|---|---|---|
| alertProductNames |
string[] |
Lista de nombres de productos de alertas en el incidente |
| alertsCount |
integer (int32) |
El número de alertas en el incidente |
| bookmarksCount |
integer (int32) |
El número de marcadores en el incidente |
| commentsCount |
integer (int32) |
El número de comentarios en el incidente |
| providerIncidentUrl |
string |
La dirección URL del incidente del proveedor al incidente en el portal de Microsoft 365 Defender |
| tactics |
Las tácticas asociadas con el incidente |
IncidentClassification
Motivo por el que se cerró el incidente
| Valor | Description |
|---|---|
| Undetermined |
La clasificación de incidentes fue indeterminada |
| TruePositive |
El incidente fue verdadero positivo |
| BenignPositive |
El incidente fue positivo benigno |
| FalsePositive |
El incidente fue falso positivo |
IncidentClassificationReason
Motivo de clasificación con el que se cerró el incidente
| Valor | Description |
|---|---|
| SuspiciousActivity |
El motivo de la clasificación fue actividad sospechosa |
| SuspiciousButExpected |
El motivo de la clasificación era sospechoso pero esperado |
| IncorrectAlertLogic |
El motivo de la clasificación fue una lógica de alerta incorrecta |
| InaccurateData |
El motivo de la clasificación fueron datos inexactos |
IncidentLabel
Representa una etiqueta de incidente
| Nombre | Tipo | Description |
|---|---|---|
| labelName |
string |
Nombre de la etiqueta |
| labelType |
El tipo de etiqueta |
IncidentLabelType
El tipo de etiqueta
| Valor | Description |
|---|---|
| User |
Etiqueta creada manualmente por un usuario |
| AutoAssigned |
Etiqueta creada automáticamente por el sistema |
IncidentList
Enumere todos los incidentes.
| Nombre | Tipo | Description |
|---|---|---|
| nextLink |
string |
URL para obtener el siguiente conjunto de incidentes. |
| value |
Incident[] |
Variedad de incidentes. |
IncidentOwnerInfo
A la información sobre el usuario a la que se asigna un incidente
| Nombre | Tipo | Description |
|---|---|---|
| assignedTo |
string |
Nombre del usuario al que se asigna el incidente. |
|
string |
Correo electrónico del usuario al que se asigna el incidente. |
|
| objectId |
string (uuid) |
Identificador de objeto del usuario al que se asigna el incidente. |
| ownerType |
Tipo del propietario al que se asigna el incidente. |
|
| userPrincipalName |
string |
Nombre principal de usuario del usuario al que se asigna el incidente. |
IncidentSeverity
Gravedad del incidente
| Valor | Description |
|---|---|
| High |
Alta gravedad |
| Medium |
Gravedad media |
| Low |
Gravedad baja |
| Informational |
Gravedad informativa |
IncidentStatus
Estado del incidente
| Valor | Description |
|---|---|
| New |
Un incidente activo que no se está manejando actualmente |
| Active |
Un incidente activo que se está manejando |
| Closed |
Un incidente no activo |
OwnerType
Tipo del propietario al que se asigna el incidente.
| Valor | Description |
|---|---|
| Unknown |
Se desconoce el tipo de propietario del incidente |
| User |
El tipo de propietario del incidente es un usuario de AAD |
| Group |
El tipo de propietario del incidente es un grupo de AAD |
systemData
Metadatos relativos a la creación y última modificación del recurso.
| Nombre | Tipo | Description |
|---|---|---|
| createdAt |
string (date-time) |
Marca de tiempo de creación de recursos (UTC). |
| createdBy |
string |
Identidad que creó el recurso. |
| createdByType |
Tipo de identidad que creó el recurso. |
|
| lastModifiedAt |
string (date-time) |
Marca de tiempo de la última modificación del recurso (UTC) |
| lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
| lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |