Microsoft Sentinel (préversion)
SIEM native dans le cloud avec une IA intégrée pour vous concentrer sur ce qui importe le plus
Ce connecteur est disponible dans les produits et régions suivants :
| Service | classe | Régions |
|---|---|---|
| Applications logiques | Norme | Toutes les régions Logic Apps |
| Contact | |
|---|---|
| Nom | Microsoft |
| URL |
Microsoft LogicApps Support |
| Métadonnées du connecteur | |
|---|---|
| Éditeur | Microsoft |
| Site internet | https://azure.microsoft.com/services/azure-sentinel/ |
Connecteur Microsoft Sentinel
Connecteur en profondeur
En savoir plus sur l’utilisation de ce connecteur :
- Authentifier des playbooks auprès d’Azure Sentinel
- Utiliser des déclencheurs et des actions dans les playbooks
- Tutoriel : Utiliser des playbooks avec des règles d’automatisation dans Microsoft Sentinel
Authentication
Les déclencheurs et les actions dans le connecteur Mcirosoft Sentinel peuvent fonctionner pour le compte de n’importe quelle identité disposant des autorisations nécessaires (lecture et/ou écriture) sur l’espace de travail approprié. Le connecteur prend en charge plusieurs types d’identités :
- Identité managée (préversion)
- Utilisateur Microsoft Entra ID
- Principal du service (application Microsoft Entra ID)
Autorisations requises
| Rôles / composants du connecteur | Triggers | Actions « Obtenir » | Mettre à jour l’incident, ajouter un commentaire |
|---|---|---|---|
| Lecteur Microsoft Sentinel | ✓ | ✓ | ✗ |
| Microsoft SentinelRépondeur/Contributeur | ✓ | ✓ | ✓ |
En savoir plus sur les autorisations dans Microsoft Sentinel.
Découvrez comment utiliser les différentes options d’authentification.
Problèmes connus et limitations
Impossible de déclencher une application logique appelée par un déclencheur Microsoft Sentinel à l’aide du bouton « Exécuter le déclencheur »
Un utilisateur ne peut pas utiliser le bouton Exécuter le déclencheur dans le panneau Vue d’ensemble du service Logic Apps pour déclencher un playbook Microsoft Sentinel.
Azure Logic Apps est déclenché par un appel POST REST, dont le corps est l’entrée du déclencheur. Logic Apps qui démarrent avec les déclencheurs Microsoft Sentinel s’attendent à voir le contenu d’une alerte ou d’un incident Microsoft Sentinel dans le corps de l’appel. Lorsque l’appel provient du panneau Vue d’ensemble de Logic Apps, le corps de l’appel est vide et, par conséquent, une erreur est générée.
Il s’agit des seules façons de déclencher des playbooks Microsoft Sentinel :
- Déclencheur manuel dans Microsoft Sentinel
- Réponse automatisée d’une règle d’analytique (directement ou via une règle d’automatisation) dans Microsoft Sentinel
- Utiliser le bouton « Soumettre à nouveau » dans un panneau d’exécution Logic Apps existant
- Appelez directement le point de terminaison Logic Apps (attachement d’une alerte/incident en tant que corps)
Mise à jour du même incident en parallèle pour chaque boucle
Chaque boucle est définie par défaut pour s’exécuter en parallèle, mais peut être facilement définie pour s’exécuter de manière séquentielle. Si une boucle pour chaque boucle peut mettre à jour le même incident Microsoft Sentinel dans des itérations distinctes, elle doit être configurée pour s’exécuter de manière séquentielle.
La restauration de la requête d’origine de l’alerte n’est actuellement pas prise en charge via Logic Apps
L’utilisation du connecteur Journaux Azure Monitor pour récupérer les événements capturés par la règle d’analytique des alertes planifiées n’est pas fiable de manière cohérente.
- Les journaux Azure Monitor ne prennent pas en charge la définition d’un intervalle de temps personnalisé. La restauration des mêmes résultats de requête nécessite de définir exactement la même plage de temps que dans la requête d’origine.
- Les alertes peuvent être retardées dans l’espace de travail Log Analytics une fois que la règle déclenche le playbook.
Ressources disponibles
Documents Microsoft Sentinel
- Avancez l’automatisation avec les playbooks
- Tutoriel : Utiliser des playbooks avec des règles d’automatisation dans Microsoft Sentinel
- Authentifier des playbooks auprès de Microsoft Sentinel
- Utiliser des déclencheurs et des actions dans les playbooks
Références Microsoft Sentinel
Azure Logic Apps
Création d’une connexion
Le connecteur prend en charge les types d’authentification suivants :
| Par défaut | Paramètres de création de connexion. | Toutes les régions | Non partageable |
Faire défaut
Applicable : Toutes les régions
Paramètres de création de connexion.
Cette connexion n’est pas partageable. Si l’application power est partagée avec un autre utilisateur, un autre utilisateur est invité à créer une connexion explicitement.
Limitations
| Nom | Appels | Période de renouvellement |
|---|---|---|
| Appels d’API par connexion | 600 | 60 secondes |
Actions
| Ajouter des étiquettes à un incident (déconseillé) [DÉCONSEILLÉ] |
Ajoute des étiquettes à l’incident sélectionné |
| Ajouter un commentaire à l’incident [DÉCONSEILLÉ] |
Cette action a été déconseillée. Utilisez plutôt Ajouter un commentaire à l’incident (V3).
|
| Ajouter un commentaire à un incident (V2) |
Ajoute un commentaire à l’incident sélectionné |
| Ajouter un commentaire à un incident (V3) |
Ajoute un commentaire à l’incident sélectionné |
| Ajouter une alerte à un incident |
Ajoutez une alerte à un incident existant. L’alerte rejoint l’incident en tant qu’autre alerte et s’affiche dans le portail. |
| Ajouter une tâche à un incident |
Ajoute une tâche à un incident existant |
| Alerte - Obtenir l’incident |
Retourne l’incident associé à l’alerte sélectionnée |
| Alerte - Obtenir l’incident |
Retourne l’incident associé à l’alerte sélectionnée |
| Créer un incident |
Créer un incident avec des champs fournis |
| Description de l’incident de modification (V2) (déconseillée) [DÉCONSEILLÉE] |
description des modifications apportées à l’incident sélectionné |
| Description de l’incident de modification [DÉCONSEILLÉ] |
description des modifications apportées à l’incident sélectionné |
| Désabonnement du déclencheur ASI [DÉCONSEILLÉ] |
Unsubscribe |
| Entités - Obtenir DNS |
Retourne la liste des enregistrements DNS associés à l’alerte |
|
Entités - Obtenir File |
Retourne la liste des hachages de fichier associés à l’alerte |
| Entités - Obtenir les comptes |
Retourne la liste des comptes associés à l’alerte |
| Entités - Obtenir les hôtes |
Retourne la liste des hôtes associés à l’alerte |
| Entités - Obtenir les IP |
Retourne la liste des adresses IP associées à l’alerte |
| Entités - Obtenir les URL |
Retourne la liste des URL associées à l’alerte |
| Incident de mise à jour |
Mettre à jour l’incident avec les champs fournis |
| Marquer une tâche comme terminée |
Marquer une tâche comme terminée |
| Modifier la gravité des incidents (déconseillé) [DÉCONSEILLÉ] |
modification de la gravité de l’incident sélectionné |
| Modifier le titre de l’incident (V2) (déconseillé) [DÉPRÉCIÉ] |
modifie le titre de l’incident sélectionné |
| Modifier le titre de l’incident [DÉCONSEILLÉ] |
modifie le titre de l’incident sélectionné |
| Modifier l’état de l’incident (déconseillé) [DÉCONSEILLÉ] |
modifie l’état de l’incident sélectionné |
| Obtenir l’incident |
Obtenir un incident par ID ARM |
| Renseignement sur les menaces - Charger les indicateurs de compromission (déconseillé) |
Renseignement sur les menaces - Charger les indicateurs de compromission |
| Signets (V2) - Créer un signet (entrée json) (préversion) |
Signets (V2) : créez un signet valide (json). |
| Signets (V3) : crée un signet avec des champs distincts (préversion) |
Signets (V3) : créez un signet. |
| Signets - Crée un signet (préversion) |
Signets : crée un signet. |
| Signets - Obtenir tous les signets |
Signets - Obtenir tous les signets d’un espace de travail donné |
| Signets - Obtenir un signet |
Signets - Obtenir des signets par ID |
| Signets - Supprimer un signet |
Signets - Supprimer un signet |
| Supprimer les étiquettes de l’incident (déconseillé) [DÉCONSEILLÉ] |
Supprime les étiquettes pour l’incident sélectionné |
| Supprimer l’alerte de l’incident |
Supprimez une alerte d’un incident existant. |
| Threat Intelligence - Charger des indicateurs de compromission (V2) (préversion) |
Chargez des indicateurs en bloc à l’aide de l’API Indicateurs de chargement Threat Intelligence. |
| Threat Intelligence - Charger des objets STIX (préversion) |
Chargez des objets STIX en bloc à l’aide de l’API Threat Intelligence Upload. |
| Watchlists - Ajouter un nouvel élément Watchlist |
Watchlists - Ajouter un nouvel élément Watchlist |
| Watchlists - Créer une grande watchlist à l’aide d’un URI SAS |
Watchlists - Créer une grande watchlist à l’aide d’un URI SAS |
| Watchlists - Créer une grande watchlist à l’aide d’un URI SAS (V2) |
Watchlists - Créer une grande watchlist à l’aide d’un URI SAS (V2) |
| Watchlists - Créer une watchlist avec des données (contenu brut) |
Watchlists - Créer une watchlist avec des données (contenu brut) |
| Watchlists - Créer une watchlist avec des données (contenu brut) (V2) |
Watchlists - Créer une watchlist avec des données (contenu brut) (V2) |
| Watchlists - Get all Watchlist Items for a given watchlist |
Watchlists - Get all Watchlist Items for a given watchlist |
| Watchlists - Mettre à jour un élément Watchlist existant |
Watchlists - Mettre à jour un élément Watchlist existant |
| Watchlists - Obtenir tous les éléments watchlist pour une watchlist donnée (V2) |
Watchlists - Obtenir tous les éléments watchlist pour une watchlist donnée (V2) |
| Watchlists - Obtenir un élément Watchlist par ID (guid) |
Watchlists - Obtenir un élément Watchlist |
| Watchlists - Obtenir une watchlist par alias |
Watchlists - Obtenir une watchlist par alias |
| Watchlists - Supprimer un élément Watchlist |
Watchlists - Supprimer un élément Watchlist |
| Watchlists - Supprimer un élément Watchlist (V2) |
Watchlists - Supprimer un élément Watchlist (V2) |
| Watchlists - Supprimer une watchlist |
Watchlists - Supprimer une watchlist |
| Watchlists - Supprimer une watchlist (V2) |
Supprime une watchlist donnée par alias. |
Ajouter des étiquettes à un incident (déconseillé) [DÉCONSEILLÉ]
Ajoute des étiquettes à l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
label
|
Label | True | string |
label |
Retours
- response
- string
Ajouter un commentaire à l’incident [DÉCONSEILLÉ]
Cette action a été déconseillée. Utilisez plutôt Ajouter un commentaire à l’incident (V3).
Ajoute un commentaire à l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
Spécifier un commentaire d’incident
|
comment | True | string |
Commentaire sur l’incident |
Retours
- response
- string
Ajouter un commentaire à un incident (V2)
Ajoute un commentaire à l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
Spécifier un commentaire
|
Value | True | string |
Valeur de commentaire |
Retours
- response
- string
Ajouter un commentaire à un incident (V3)
Ajoute un commentaire à l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID ARM d’incident
|
incidentArmId | True | string |
ID ARM d’incident |
|
Message de commentaire d’incident
|
message | True | html |
Message de commentaire d’incident |
Retours
Représente un élément de commentaire d’incident
- Commentaire d’incident
- IncidentComment
Ajouter une alerte à un incident
Ajoutez une alerte à un incident existant. L’alerte rejoint l’incident en tant qu’autre alerte et s’affiche dans le portail.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID ARM d’incident
|
incidentArmId | True | string |
ID ARM d’incident. Récupérer à partir du déclencheur d’incident, alerte - Obtenir une action d’incident ou une requête journaux Azure Monitor. |
|
ID d’alerte système
|
relatedResourceId | True | string |
ID d’alerte système qui sera ajouté / supprimé à / de l’incident. Récupérer à partir d’une requête de journaux Azure Monitor ou d’un déclencheur d’alerte. Par exemple : dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Retours
Représente une relation d’incident
- Corps
- IncidentRelation
Ajouter une tâche à un incident
Ajoute une tâche à un incident existant
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID ARM d’incident
|
incidentArmId | True | string |
ID ARM d’incident |
|
Titre
|
taskTitle | True | string |
Titre de la tâche |
|
Descriptif
|
taskDescription | html |
Description de la tâche |
Retours
Représente un élément de tâche d’incident
- Tâche d’incident
- IncidentTask
Alerte - Obtenir l’incident
Retourne l’incident associé à l’alerte sélectionnée
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’ID d’alerte
|
alertId | True | string |
ID d’alerte système |
Retours
Représente un incident dans Azure Security Insights.
- Corps
- Incident
Alerte - Obtenir l’incident
Retourne l’incident associé à l’alerte sélectionnée
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’ID d’alerte
|
alertId | True | string |
ID d’alerte système |
Retours
- Corps
- OldIncident
Créer un incident
Créer un incident avec des champs fournis
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Sélectionner un abonnement |
|
Groupe de ressources
|
resourceGroup | True | string |
Sélectionner un groupe de ressources |
|
Nom de l’espace de travail
|
workspaceName | True | string |
Sélectionner un espace de travail |
|
Spécifier des champs d’incident
|
body | True | dynamic |
Champs d’incident |
Retours
Représente un incident dans Azure Security Insights.
- Corps
- Incident
Description de l’incident de modification (V2) (déconseillée) [DÉCONSEILLÉE]
description des modifications apportées à l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
Spécifier la description
|
Value | True | string |
Valeur de description |
Retours
- response
- string
Description de l’incident de modification [DÉCONSEILLÉ]
description des modifications apportées à l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
Spécifier la description
|
fieldValue | True | string |
Valeur de description |
Retours
- response
- string
Désabonnement du déclencheur ASI [DÉCONSEILLÉ]
Entités - Obtenir DNS
Retourne la liste des enregistrements DNS associés à l’alerte
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Liste des entités
|
body | True | string |
Liste des entités |
Retours
Liste des domaines DNS associés à l’alerte
- Corps
- BatchResponseDNS
Entités - Obtenir FileHashes
Retourne la liste des hachages de fichier associés à l’alerte
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Liste des entités
|
body | True | string |
Liste des entités |
Retours
Liste des hachages de fichier associés à l’alerte
- Corps
- BatchResponseFileHash
Entités - Obtenir les comptes
Retourne la liste des comptes associés à l’alerte
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Liste des entités
|
body | True | string |
Liste des entités |
Retours
Liste des comptes associés à l’alerte
- Corps
- BatchResponseAccount
Entités - Obtenir les hôtes
Retourne la liste des hôtes associés à l’alerte
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Liste des entités
|
body | True | string |
Liste des entités |
Retours
Liste des hôtes associés à l’alerte
- Corps
- BatchResponseHost
Entités - Obtenir les IP
Retourne la liste des adresses IP associées à l’alerte
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Liste des entités
|
body | True | string |
Liste des entités |
Retours
Liste des adresses IP associées à l’alerte
- Corps
- BatchResponseIP
Entités - Obtenir les URL
Retourne la liste des URL associées à l’alerte
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Liste des entités
|
body | True | string |
Liste des entités |
Retours
Liste des URL associées à l’alerte
- Corps
- BatchResponseUrl
Incident de mise à jour
Mettre à jour l’incident avec les champs fournis
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier les champs d’incident à mettre à jour
|
body | True | dynamic |
Champs d’incident à mettre à jour |
Retours
Représente un incident dans Azure Security Insights.
- Corps
- Incident
Marquer une tâche comme terminée
Marquer une tâche comme terminée
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID ARM de la tâche
|
taskArmId | True | string |
ID ARM de la tâche |
Retours
Représente un élément de tâche d’incident
- Tâche d’incident
- IncidentTask
Modifier la gravité des incidents (déconseillé) [DÉCONSEILLÉ]
modification de la gravité de l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
Spécifier la gravité
|
severity | True | string |
Valeur de gravité |
Retours
- response
- string
Modifier le titre de l’incident (V2) (déconseillé) [DÉPRÉCIÉ]
modifie le titre de l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
Spécifier le titre
|
Value | True | string |
Valeur de titre |
Retours
- response
- string
Modifier le titre de l’incident [DÉCONSEILLÉ]
modifie le titre de l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
Spécifier le titre
|
fieldValue | True | string |
Valeur de titre |
Retours
- response
- string
Modifier l’état de l’incident (déconseillé) [DÉCONSEILLÉ]
modifie l’état de l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
Spécifier l’état
|
status | True | string |
Valeur d’état |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Schéma dynamique du changement d’état d’incident |
Retours
- response
- string
Obtenir l’incident
Obtenir un incident par ID ARM
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID ARM d’incident
|
incidentArmId | True | string |
ID ARM d’incident |
Retours
Représente un incident dans Azure Security Insights.
- Corps
- Incident
Renseignement sur les menaces - Charger les indicateurs de compromission (déconseillé)
Renseignement sur les menaces - Charger les indicateurs de compromission
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
Retours
Réponse des indicateurs Uplaod Threat Intelligence.
- Objets
- IndicatorValidationErrors
Signets (V2) - Créer un signet (entrée json) (préversion)
Signets (V2) : créez un signet valide (json).
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Nom complet du signet
|
displayName | True | string |
Nom complet du signet |
|
Requête signet
|
bookmarkQuery | True | string |
Requête signet (par exemple, 'SecurityEvent | où TimeGenerated > ago(1d) et TimeGenerated < ago(2d)') |
|
Résultat de la requête signet
|
bookmarkQueryResult | True | string |
Résultat de la requête signet (par exemple, « Résultat de la requête d’événement de sécurité ») |
|
Notes de signet
|
bookmarkNotes | string |
Notes de signet (par exemple, « Mes notes de signet ») |
Retours
Représente un signet dans Azure Security Insights.
- Corps
- Bookmark
Signets (V3) : crée un signet avec des champs distincts (préversion)
Signets (V3) : créez un signet.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier le nom complet du signet
|
bookmarkName | True | string |
Nom complet du signet (par exemple, « Mon signet ») |
|
Spécifier une requête de signet
|
bookmarkQuery | True | string |
Requête signet (par exemple, 'SecurityEvent | où TimeGenerated > ago(1d) et TimeGenerated < ago(2d)') |
|
Spécifier le résultat de la requête de signet
|
bookmarkQueryResult | True | string |
Résultat de la requête signet (par exemple, « Résultat de la requête d’événement de sécurité ») |
|
Spécifier des notes de signet
|
bookmarkNotes | True | string |
Notes de signet (par exemple, « Mes notes de signet ») |
Retours
Représente un signet dans Azure Security Insights.
- Corps
- Bookmark
Signets - Crée un signet (préversion)
Signets : crée un signet.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’ID de signet
|
bookmarkId | True | string |
ID du signet |
|
créé
|
created | date-time |
Heure de création du signet |
|
|
Messagerie électronique
|
string |
E-mail de l’utilisateur. |
||
|
nom
|
name | string |
Nom de l’utilisateur. |
|
|
objectId
|
objectId | uuid |
ID d’objet de l’utilisateur. |
|
|
nom d’affichage
|
displayName | True | string |
Nom complet du signet |
|
labels
|
labels | string |
Étiquette qui sera utilisée pour baliser et filtrer. |
|
|
Remarques
|
notes | string |
Notes du signet |
|
|
query
|
query | True | string |
Requête du signet. |
|
queryResult
|
queryResult | string |
Résultat de la requête du signet. |
|
|
Actualisé
|
updated | date-time |
La dernière fois que le signet a été mis à jour |
|
|
Heure de l'événement
|
eventTime | date-time |
Heure de l’événement de signet |
|
|
queryStartTime
|
queryStartTime | date-time |
Heure de début de la requête |
|
|
queryEndTime
|
queryEndTime | date-time |
Heure de fin de la requête |
|
|
ID ARM d’incident
|
id | string |
ID ARM complet de l’incident. |
|
|
Nom ARM d’incident
|
name | string |
Nom ARM de l’incident (GUID) |
|
|
Nombre d’alertes d’incident
|
alertsCount | integer |
Nombre d’alertes dans l’incident |
|
|
Nombre de signets d’incident
|
bookmarksCount | integer |
Nombre de signets dans l’incident |
|
|
Nombre de commentaires sur les incidents
|
commentsCount | integer |
Nombre de commentaires dans l’incident |
|
|
Noms des produits d’alerte d’incident
|
alertProductNames | array of string |
Liste des noms de produits d’alertes dans l’incident |
|
|
URL de l’incident du fournisseur
|
providerIncidentUrl | string |
URL de l’incident dans le portail Microsoft Defender |
|
|
Numéro d’incident fusionné
|
mergedIncidentNumber | string |
Numéro d’incident de l’incident dans lequel l’incident actuel a été fusionné |
|
|
URL de l’incident fusionné
|
mergedIncidentUrl | string |
URL de l’incident dans lequel l’incident actuel a été fusionné |
|
|
Tactiques d’incident
|
Incident Tactics | string |
Représente un élément de tactique associé à l’incident |
|
|
Techniques d’incident
|
techniques | array of string |
Les techniques associées aux tactiques de l’incident |
|
|
Classification des incidents
|
classification | string |
La raison pour laquelle l’incident a été fermé |
|
|
Commentaire de classification des incidents
|
classificationComment | string |
Décrit la raison pour laquelle l’incident a été fermé |
|
|
Motif de classification des incidents
|
classificationReason | string |
La raison de classification avec laquelle l’incident a été fermé |
|
|
Heure utc de création de l’incident
|
createdTimeUtc | date-time |
Heure de création de l’incident |
|
|
Description de l’incident
|
description | string |
Description de l’incident |
|
|
Heure UTC de la première activité des incidents
|
firstActivityTimeUtc | date-time |
Heure de la première activité dans l’incident |
|
|
URL de l’incident
|
incidentUrl | string |
URL de lien profond vers l’incident dans le portail Azure |
|
|
ID d’incident du fournisseur
|
providerIncidentId | string |
ID d’incident attribué par le fournisseur d’incidents |
|
|
Incident Sentinel ID
|
incidentNumber | integer |
Nombre séquentiel utilisé pour identifier l’incident dans Microsoft Sentinel. |
|
|
Heure UTC de l’activité de l’incident
|
lastActivityTimeUtc | date-time |
Heure de la dernière activité dans l’incident |
|
|
Gravité de l’incident
|
severity | string |
Gravité de l’incident |
|
|
État de l’incident
|
status | string |
État de l’incident |
|
|
Titre de l’incident
|
title | string |
Titre de l’incident |
|
|
Nom
|
labelName | True | string |
Nom de la balise |
|
Type
|
labelType | string |
Type de la balise |
|
|
Heure UTC de la dernière modification de l’incident
|
lastModifiedTimeUtc | date-time |
La dernière fois que l’incident a été mis à jour |
|
|
Messagerie électronique
|
string |
E-mail de l’utilisateur auquel l’incident est affecté. |
||
|
Affectation
|
assignedTo | string |
Nom de l’utilisateur auquel l’incident est affecté. (champ assignedTo) |
|
|
Identifiant d'objet (ObjectId)
|
objectId | uuid |
ID d’objet de l’utilisateur auquel l’incident est affecté. |
|
|
Nom d’utilisateur principal
|
userPrincipalName | string |
Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. |
|
|
ID de règle analytique associée aux incidents
|
relatedAnalyticRuleIds | array of string |
Liste des ID de ressource des règles analytiques liées à l’incident |
|
|
ID
|
id | string |
ID ARM complet du commentaire. |
|
|
Nom
|
name | string |
Nom ARM du commentaire (GUID) |
|
|
Propriétés
|
properties |
Représente les propriétés de commentaire d’incident JSON. |
Retours
Représente un signet dans Azure Security Insights.
- Corps
- Bookmark
Signets - Obtenir tous les signets
Signets - Obtenir tous les signets d’un espace de travail donné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier le nombre de signets
|
numberOfBookmarks | True | integer |
Nombre de signets à retourner. 0 ou négatif pour renvoyer tous les signets |
Retours
Répertoriez tous les signets.
- Corps
- BookmarkList
Signets - Obtenir un signet
Signets - Obtenir des signets par ID
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’ID de signet
|
bookmarkId | True | string |
ID du signet |
Retours
Représente un signet dans Azure Security Insights.
- Corps
- Bookmark
Signets - Supprimer un signet
Signets - Supprimer un signet
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’ID de signet
|
bookmarkId | True | string |
ID du signet |
Retours
- response
- string
Supprimer les étiquettes de l’incident (déconseillé) [DÉCONSEILLÉ]
Supprime les étiquettes pour l’incident sélectionné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Identificateur
|
identifier | True | string |
Incident / alerte |
|
Spécifier l’alerte/ l’incident
|
id | True | string |
Indiquez le numéro d’incident /id d’alerte |
|
label
|
Label | True | string |
label |
Retours
- response
- string
Supprimer l’alerte de l’incident
Supprimez une alerte d’un incident existant.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID ARM d’incident
|
incidentArmId | True | string |
ID ARM d’incident. Récupérer à partir du déclencheur d’incident, alerte - Obtenir une action d’incident ou une requête journaux Azure Monitor. |
|
ID d’alerte système
|
relatedResourceId | True | string |
ID d’alerte système qui sera ajouté / supprimé à / de l’incident. Récupérer à partir d’une requête de journaux Azure Monitor ou d’un déclencheur d’alerte. Par exemple : dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Retours
- response
- string
Threat Intelligence - Charger des indicateurs de compromission (V2) (préversion)
Chargez des indicateurs en bloc à l’aide de l’API Indicateurs de chargement Threat Intelligence.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
Retours
Réponse de l’API Uplaod Threat Intelligence. Il s’agit d’erreurs pour les objets non valides dans le corps de la requête.
- Objets
- UploadApiValidationErrors
Threat Intelligence - Charger des objets STIX (préversion)
Chargez des objets STIX en bloc à l’aide de l’API Threat Intelligence Upload.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
Retours
Réponse de l’API Uplaod Threat Intelligence. Il s’agit d’erreurs pour les objets non valides dans le corps de la requête.
- Objets
- UploadApiValidationErrors
Watchlists - Ajouter un nouvel élément Watchlist
Watchlists - Ajouter un nouvel élément Watchlist
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Retours
Représente un WatchlistItem dans Azure Security Insights.
- Corps
- WatchlistItem
Watchlists - Créer une grande watchlist à l’aide d’un URI SAS
Watchlists - Créer une grande watchlist à l’aide d’un URI SAS
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Retours
Représente une watchlist dans Azure Security Insights.
- Corps
- Watchlist
Watchlists - Créer une grande watchlist à l’aide d’un URI SAS (V2)
Watchlists - Créer une grande watchlist à l’aide d’un URI SAS (V2)
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Retours
Représente une watchlist dans Azure Security Insights.
- Corps
- WatchlistV2
Watchlists - Créer une watchlist avec des données (contenu brut)
Watchlists - Créer une watchlist avec des données (contenu brut)
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Retours
Représente une watchlist dans Azure Security Insights.
- Corps
- Watchlist
Watchlists - Créer une watchlist avec des données (contenu brut) (V2)
Watchlists - Créer une watchlist avec des données (contenu brut) (V2)
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Retours
Représente une watchlist dans Azure Security Insights.
- Corps
- WatchlistV2
Watchlists - Get all Watchlist Items for a given watchlist
Watchlists - Get all Watchlist Items for a given watchlist
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Retours
Répertorier tous les éléments de la liste de surveillance.
- response
- WatchlistItemList
Watchlists - Mettre à jour un élément Watchlist existant
Watchlists - Mettre à jour un élément Watchlist existant
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
|
Spécifier l’ID d’élément Watchlist
|
watchlistItemId | True | string |
Identificateur unique d’un élément watchlist (GUID) |
Retours
Représente un WatchlistItem dans Azure Security Insights.
- Corps
- WatchlistItem
Watchlists - Obtenir tous les éléments watchlist pour une watchlist donnée (V2)
Watchlists - Obtenir tous les éléments watchlist pour une watchlist donnée (V2)
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
|
Ignorer le jeton
|
skipToken | string |
Ignorer le jeton pour le jeu suivant de 100 éléments à retourner |
Retours
Répertorier tous les éléments de la liste de surveillance.
- response
- WatchlistItemList
Watchlists - Obtenir un élément Watchlist par ID (guid)
Watchlists - Obtenir un élément Watchlist
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
|
Spécifier l’ID d’élément Watchlist
|
watchlistItemId | True | string |
Identificateur unique d’un élément watchlist (GUID) |
Retours
Représente un WatchlistItem dans Azure Security Insights.
- Corps
- WatchlistItem
Watchlists - Obtenir une watchlist par alias
Watchlists - Obtenir une watchlist par alias
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Retours
Représente une watchlist dans Azure Security Insights.
- Corps
- Watchlist
Watchlists - Supprimer un élément Watchlist
Watchlists - Supprimer un élément Watchlist
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
|
Spécifier l’ID d’élément Watchlist
|
watchlistItemId | True | string |
Identificateur unique d’un élément watchlist (GUID) |
Retours
- response
- string
Watchlists - Supprimer un élément Watchlist (V2)
Watchlists - Supprimer un élément Watchlist (V2)
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
|
Spécifier l’ID d’élément Watchlist
|
watchlistItemId | True | string |
Identificateur unique d’un élément watchlist (GUID) |
Retours
- response
- string
Watchlists - Supprimer une watchlist
Watchlists - Supprimer une watchlist
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Retours
- response
- string
Watchlists - Supprimer une watchlist (V2)
Supprime une watchlist donnée par alias.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Spécifier l’ID d’abonnement
|
subscriptionId | True | string |
ID d’abonnement |
|
Spécifier un groupe de ressources
|
resourceGroup | True | string |
groupe de ressources |
|
Spécifier l’ID de l’espace de travail
|
workspaceId | True | string |
ID de l’espace de travail |
|
Spécifier l’alias watchlist
|
watchlistAlias | True | string |
Alias Watchlist |
Déclencheurs
| Alerte Microsoft Sentinel |
Lorsqu’une réponse à une alerte Microsoft Sentinel est déclenchée. Ce playbook est déclenché par une règle d’analyse lorsqu’une nouvelle alerte est créée ou par un déclenchement manuel. Playbook reçoit l’alerte en tant qu’entrée. |
| Entité Microsoft Sentinel |
Exécuter un playbook sur l’entité Microsoft Sentinel |
| Incident Microsoft Sentinel |
Lorsqu’une réponse à un incident Microsoft Sentinel est déclenchée. Ce playbook est déclenché par une règle d’automatisation lorsqu’un incident est créé ou mis à jour. Playbook reçoit l’incident Microsoft Sentinel en tant qu’entrée, y compris les alertes et les entités. |
| Lorsqu’une réponse à une alerte Microsoft Sentinel est déclenchée [DÉCONSEILLÉE] |
Lorsqu’une réponse à une alerte Microsoft Sentinel est déclenchée. Ce playbook doit être déclenché à l’aide de Microsoft Sentinel Real Time ou à partir d’Azure |
Alerte Microsoft Sentinel
Lorsqu’une réponse à une alerte Microsoft Sentinel est déclenchée. Ce playbook est déclenché par une règle d’analyse lorsqu’une nouvelle alerte est créée ou par un déclenchement manuel. Playbook reçoit l’alerte en tant qu’entrée.
Retours
- Corps
- Alert
Entité Microsoft Sentinel
Exécuter un playbook sur l’entité Microsoft Sentinel
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Type d’entité
|
entityType | True | string |
Type d’entité |
Retours
Incident Microsoft Sentinel
Lorsqu’une réponse à un incident Microsoft Sentinel est déclenchée. Ce playbook est déclenché par une règle d’automatisation lorsqu’un incident est créé ou mis à jour. Playbook reçoit l’incident Microsoft Sentinel en tant qu’entrée, y compris les alertes et les entités.
Retours
Lorsqu’une réponse à une alerte Microsoft Sentinel est déclenchée [DÉCONSEILLÉE]
Lorsqu’une réponse à une alerte Microsoft Sentinel est déclenchée. Ce playbook doit être déclenché à l’aide de Microsoft Sentinel Real Time ou à partir d’Azure
Retours
- Corps
- Alert
Définitions
UploadApiValidationErrors
Réponse de l’API Uplaod Threat Intelligence. Il s’agit d’erreurs pour les objets non valides dans le corps de la requête.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
Réponse des indicateurs Uplaod Threat Intelligence.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Liste des comptes associés à l’alerte
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Liste des comptes associés à l’alerte |
Compte
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nom
|
Name | string |
Nom de compte |
|
Domaine NT
|
NTDomain | string |
Nom de domaine NETBIOS tel qu’il apparaît dans le format d’alerte |
|
DnsDomain
|
DnsDomain | string |
Nom DNS de domaine complet |
|
Suffixe UPN
|
UPNSuffix | string |
Suffixe du nom d’utilisateur principal |
|
SID
|
Sid | string |
Identificateur de sécurité de compte, par exemple S-1-5-18 |
|
ID de locataire Microsoft Entra ID
|
AadTenantId | string |
Id de locataire Microsoft Entra ID, s’il est connu |
|
ID d’utilisateur Microsoft Entra ID
|
AadUserId | string |
ID d’utilisateur Microsoft Entra ID, s’il est connu |
|
PUID
|
PUID | string |
ID d’utilisateur Microsoft Entra Passport, s’il est connu |
|
Joint à un domaine
|
IsDomainJoined | boolean |
Détermine s’il s’agit d’un compte de domaine |
|
ObjectGuid
|
ObjectGuid | string |
L’attribut objectGUID est un attribut à valeur unique qui est l’identificateur unique de l’objet, affecté par l’ID Microsoft Entra |
BatchResponseUrl
Liste des URL associées à l’alerte
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
URLs
|
URLs | array of UrlEntity |
Liste des URL associées à l’alerte |
UrlEntity
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
URL
|
Url | string |
BatchResponseHost
Liste des hôtes associés à l’alerte
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Liste des hôtes associés à l’alerte |
Host
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Domaine DNS
|
DnsDomain | string |
Domaine DNS auquel appartient cet hôte |
|
Domaine NT
|
NTDomain | string |
Domaine NT auquel appartient cet hôte |
|
Hostname
|
HostName | string |
Nom d’hôte sans suffixe de domaine |
|
NetBiosName
|
NetBiosName | string |
Nom d’hôte (pré-windows2000) |
|
OMSAgentID
|
OMSAgentID | string |
ID de l’agent OMS, si l’hôte a installé l’agent OMS |
|
OSFamily
|
OSFamily | string |
Une des valeurs suivantes : Linux, Windows, Android, IOS |
|
OSVersion
|
OSVersion | string |
Représentation de texte libre du système d’exploitation |
|
Joint à un domaine
|
IsDomainJoined | boolean |
Détermine si cet hôte appartient à un domaine |
|
AzureID
|
AzureID | string |
ID de ressource Azure de la machine virtuelle, s’il est connu |
BatchResponseIP
Liste des adresses IP associées à l’alerte
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Ips
|
IPs | array of IP |
Liste des adresses IP associées à l’alerte |
IP
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Adresse
|
Address | string |
adresse IP |
BatchResponseDNS
Liste des domaines DNS associés à l’alerte
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Domaines DNS
|
Dnsresolutions | array of DNS |
Liste des domaines DNS associés à l’alerte |
DNS
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nom de domaine
|
DomainName | string |
Nom de l’enregistrement DNS associé à l’alerte |
BatchResponseFileHash
Liste des hachages de fichier associés à l’alerte
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
Liste des hachages de fichier associés à l’alerte |
FileHash
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Valeur
|
Value | string |
Valeur de hachage de fichier |
|
Algorithm
|
Algorithm | string |
Types d’algorithmes de hachage de fichier |
OldIncident
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Propriétés
|
properties | OldIncidentProperties |
OldIncidentProperties
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Statut
|
Status | string |
État de l’incident |
|
Étiquettes
|
Labels | array of |
Étiquettes de l’incident |
|
Titre
|
Title | string |
Titre de l’incident |
|
Descriptif
|
Description | string |
Description de l’incident |
|
Heure de fin UTC
|
EndTimeUtc | string |
Heure de fin de l’incident |
|
Heure de début UTC
|
StartTimeUtc | string |
Heure de début de l’incident |
|
Heure utc de la dernière mise à jour
|
LastUpdatedTimeUtc | string |
Heure de mise à jour de l’incident |
|
Number
|
CaseNumber | string |
Nombre de l’incident |
|
Heure utc créée
|
CreatedTimeUtc | string |
Heure de création de l’incident |
|
Niveau de gravité
|
Severity | string |
Gravité de l’incident |
|
ID d’alerte connexes
|
RelatedAlertIds | array of |
ID d’alerte associé de l’incident |
IncidentAdditionalData
Incident d’un conteneur de propriétés de données supplémentaires.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’alertes d’incident
|
alertsCount | integer |
Nombre d’alertes dans l’incident |
|
Nombre de signets d’incident
|
bookmarksCount | integer |
Nombre de signets dans l’incident |
|
Nombre de commentaires sur les incidents
|
commentsCount | integer |
Nombre de commentaires dans l’incident |
|
Noms des produits d’alerte d’incident
|
alertProductNames | array of string |
Liste des noms de produits d’alertes dans l’incident |
|
URL de l’incident du fournisseur
|
providerIncidentUrl | string |
URL de l’incident dans le portail Microsoft Defender |
|
Numéro d’incident fusionné
|
mergedIncidentNumber | string |
Numéro d’incident de l’incident dans lequel l’incident actuel a été fusionné |
|
URL de l’incident fusionné
|
mergedIncidentUrl | string |
URL de l’incident dans lequel l’incident actuel a été fusionné |
|
Tactiques d’incident
|
tactics | array of AttackTactic |
Tactiques associées à l’incident |
|
Techniques d’incident
|
techniques | array of string |
Les techniques associées aux tactiques de l’incident |
IncidentLabel
Représente une balise d’incident
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nom
|
labelName | string |
Nom de la balise |
|
Type
|
labelType | string |
Type de la balise |
IncidentOwnerInfo
Informations sur l’utilisateur auquel un incident est affecté
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Messagerie électronique
|
string |
E-mail de l’utilisateur auquel l’incident est affecté. |
|
|
Affectation
|
assignedTo | string |
Nom de l’utilisateur auquel l’incident est affecté. (champ assignedTo) |
|
Identifiant d'objet (ObjectId)
|
objectId | uuid |
ID d’objet de l’utilisateur auquel l’incident est affecté. |
|
Nom d’utilisateur principal
|
userPrincipalName | string |
Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. |
AttackTactic
Représente un élément de tactique associé à l’incident
Représente un élément de tactique associé à l’incident
AlertSeverity
HuntingBookmark
Représente un élément de signet de chasse
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ARM ID
|
id | string |
ID ARM complet du signet. |
|
Nom ARM
|
name | string |
Nom ARM du signet (GUID) |
|
Propriétés
|
properties | HuntingBookmarkProperties |
Représente huntingBookmark Properties JSON. |
Alerte de sécurité
Représente un élément d’alerte de sécurité
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ARM ID
|
id | string |
ID ARM complet de l’alerte. |
|
Nom ARM
|
name | string |
Nom ARM de l’alerte (GUID) |
|
Propriétés
|
properties | SecurityAlertProperties |
Représente les propriétés d’alerte JSON. |
HuntingBookmarkProperties
Représente huntingBookmark Properties JSON.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nom d’affichage
|
displayName | string |
Nom complet du signet |
|
Créé
|
created | date-time |
Heure de création du signet |
|
Updated
|
updated | date-time |
Heure mise à jour du signet |
|
Créé par les informations utilisateur
|
createdBy | CreatedByUserInfo |
Représente le json des propriétés UserInfo. |
|
Mise à jour par les informations utilisateur
|
updatedBy | UpdatedByUserInfo |
Représente le json des propriétés UserInfo. |
|
Heure de l’événement
|
eventTime | date-time |
Heure de l’événement du signet |
|
Remarques
|
notes | string |
Notes du signet |
|
Étiquettes
|
labels | array of string |
Étiquettes du signet |
|
Query
|
query | string |
Requête du signet |
|
Résultat de la requête
|
queryResult | string |
Résultat de la requête du signet |
SecurityAlertProperties
Représente les propriétés d’alerte JSON.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nom convivial
|
friendlyName | string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible humainement de l’instance d’élément de graphique. Cette propriété est facultative et peut être générée par le système. |
|
Nom d’affichage
|
alertDisplayName | string |
Nom complet de l’alerte |
|
Type
|
alertType | string |
Dans l’alerte de planification, il s’agit de l’ID de règle d’analyse. |
|
URI
|
alertLink | string |
Il s’agit du lien vers l’alerte dans le fournisseur orignal. |
|
Entité compromise
|
compromisedEntity | string |
Nom complet de l’entité principale signalée. |
|
Niveau de confiance
|
confidenceLevel | string |
Niveau de confiance de cette alerte. |
|
Descriptif
|
description | string |
Description de l’alerte. |
|
Heure de fin UTC
|
endTimeUtc | date-time |
Heure de fin de l’alerte d’impact (heure du dernier événement contribuant à l’alerte). |
|
ID du fournisseur
|
providerAlertId | string |
Identificateur de l’alerte à l’intérieur du produit qui a généré l’alerte. |
|
Nom du produit
|
productName | string |
Nom du produit qui a publié cette alerte. |
|
Étapes de correction
|
remediationSteps | array of string |
Liste des éléments d’action manuelle à entreprendre pour corriger l’alerte. |
|
Niveau de gravité
|
severity | AlertSeverity |
Gravité de l’alerte |
|
Heure de début
|
startTimeUtc | date-time |
Heure de début de l’impact de l’alerte (heure du premier événement contribuant à l’alerte). |
|
Statut
|
status | string |
État du cycle de vie de l’alerte. |
|
ID système
|
systemAlertId | string |
Contient l’identificateur du produit de l’alerte pour le produit. |
|
Tactics
|
tactics | array of AttackTactic |
Liste des tactiques d’alerte. |
|
Heure générée
|
timeGenerated | date-time |
Heure de génération de l’alerte. |
|
Query
|
additionalData.Query | string |
Requête utilisée pour déterminer si l’alerte doit être déclenchée (Planifier l’alerte uniquement). |
|
Heure de début de la requête
|
additionalData.Query Start Time UTC | string |
Heure de début de la requête utilisée pour déterminer si l’alerte doit être déclenchée (Planifier l’alerte uniquement). |
|
Heure de fin de la requête
|
additionalData.Query End Time UTC | string |
Heure de début de la requête utilisée pour déterminer si l’alerte doit être déclenchée (Planifier l’alerte uniquement). |
|
Opérateur de requête
|
additionalData.Trigger Operator | string |
Opérateur utilisé pour déterminer si l’alerte doit être déclenchée (Planifier l’alerte uniquement). |
|
Seuil de requête
|
additionalData.Trigger Threshold | string |
Seuil utilisé pour déterminer si l’alerte doit être déclenchée (Planifier l’alerte uniquement). |
|
Détails personnalisés
|
additionalData.Custom Details | string |
Détails d’événement personnalisés ajoutés à l’alerte par les règles d’analyse (alertes planifiées uniquement). Pour utiliser ce champ, suivez l’action « Analyser JSON » et utilisez un exemple de charge utile de l’alerte existante pour simuler le schéma. |
|
Identificateurs de ressources
|
resourceIdentifiers | array of object |
Identificateurs de ressource de l’alerte |
|
items
|
resourceIdentifiers | object |
Représente un identificateur de ressource d’alerte. |
Incident
Représente un incident dans Azure Security Insights.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID ARM d’incident
|
id | string |
ID ARM complet de l’incident. |
|
Nom ARM d’incident
|
name | string |
Nom ARM de l’incident (GUID) |
|
Propriétés
|
properties | IncidentProperties |
Représente le JSON des propriétés d’incident. |
FullIncident
Obtenir un incident par ID ARM
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID ARM d’incident
|
id | string |
ID ARM complet de l’incident. |
|
Nom ARM d’incident
|
name | string |
Nom ARM de l’incident (GUID) |
|
Propriétés
|
properties | FullIncidentProperties |
Représente le JSON des propriétés d’incident. |
IncidentProperties
Représente le JSON des propriétés d’incident.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
additionalData
|
additionalData | IncidentAdditionalData |
Incident d’un conteneur de propriétés de données supplémentaires. |
|
Classification des incidents
|
classification | string |
La raison pour laquelle l’incident a été fermé |
|
Commentaire de classification des incidents
|
classificationComment | string |
Décrit la raison pour laquelle l’incident a été fermé |
|
Motif de classification des incidents
|
classificationReason | string |
La raison de classification avec laquelle l’incident a été fermé |
|
Heure utc de création de l’incident
|
createdTimeUtc | date-time |
Heure de création de l’incident |
|
Description de l’incident
|
description | string |
Description de l’incident |
|
Heure UTC de la première activité des incidents
|
firstActivityTimeUtc | date-time |
Heure de la première activité dans l’incident |
|
URL de l’incident
|
incidentUrl | string |
URL de lien profond vers l’incident dans le portail Azure |
|
ID d’incident du fournisseur
|
providerIncidentId | string |
ID d’incident attribué par le fournisseur d’incidents |
|
Incident Sentinel ID
|
incidentNumber | integer |
Nombre séquentiel utilisé pour identifier l’incident dans Microsoft Sentinel. |
|
Heure UTC de l’activité de l’incident
|
lastActivityTimeUtc | date-time |
Heure de la dernière activité dans l’incident |
|
Gravité de l’incident
|
severity | string |
Gravité de l’incident |
|
État de l’incident
|
status | string |
État de l’incident |
|
Titre de l’incident
|
title | string |
Titre de l’incident |
|
Balises d’incident
|
labels | array of IncidentLabel |
Liste des balises associées à cet incident |
|
Heure UTC de la dernière modification de l’incident
|
lastModifiedTimeUtc | date-time |
La dernière fois que l’incident a été mis à jour |
|
Propriétaire de l’incident
|
owner | IncidentOwnerInfo |
Informations sur l’utilisateur auquel un incident est affecté |
|
ID de règle analytique associée aux incidents
|
relatedAnalyticRuleIds | array of string |
Liste des ID de ressource des règles analytiques liées à l’incident |
|
Commentaires
|
Comments | array of IncidentComment |
Liste des commentaires sur cet incident. |
FullIncidentProperties
Représente le JSON des propriétés d’incident.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
additionalData
|
additionalData | IncidentAdditionalData |
Incident d’un conteneur de propriétés de données supplémentaires. |
|
Classification des incidents
|
classification | string |
La raison pour laquelle l’incident a été fermé |
|
Commentaire de classification des incidents
|
classificationComment | string |
Décrit la raison pour laquelle l’incident a été fermé |
|
Motif de classification des incidents
|
classificationReason | string |
La raison de classification avec laquelle l’incident a été fermé |
|
Heure utc de création de l’incident
|
createdTimeUtc | date-time |
Heure de création de l’incident |
|
Description de l’incident
|
description | string |
Description de l’incident |
|
Heure UTC de la première activité des incidents
|
firstActivityTimeUtc | date-time |
Heure de la première activité dans l’incident |
|
URL de l’incident
|
incidentUrl | string |
URL de lien profond vers l’incident dans le portail Azure |
|
ID d’incident du fournisseur
|
providerIncidentId | string |
ID d’incident attribué par le fournisseur d’incidents |
|
Incident Sentinel ID
|
incidentNumber | integer |
Nombre séquentiel utilisé pour identifier l’incident dans Microsoft Sentinel. |
|
Heure UTC de l’activité de l’incident
|
lastActivityTimeUtc | date-time |
Heure de la dernière activité dans l’incident |
|
Gravité de l’incident
|
severity | string |
Gravité de l’incident |
|
État de l’incident
|
status | string |
État de l’incident |
|
Titre de l’incident
|
title | string |
Titre de l’incident |
|
Balises d’incident
|
labels | array of IncidentLabel |
Liste des balises associées à cet incident |
|
Heure UTC de la dernière modification de l’incident
|
lastModifiedTimeUtc | date-time |
La dernière fois que l’incident a été mis à jour |
|
Propriétaire de l’incident
|
owner | IncidentOwnerInfo |
Informations sur l’utilisateur auquel un incident est affecté |
|
ID de règle analytique associée aux incidents
|
relatedAnalyticRuleIds | array of string |
Liste des ID de ressource des règles analytiques liées à l’incident |
|
Commentaires
|
Comments | array of IncidentComment |
Liste des commentaires sur cet incident. |
|
Alerts
|
Alerts | array of SecurityAlert |
Liste des alertes liées à cet incident. |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
Liste des signets liés à cet incident. |
|
Entities
|
relatedEntities | string |
La liste des entités associées à l’incident peut contenir des entités de différents types |
IncidentEventNotification
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Noms de champs mis à jour
|
incidentUpdates.updatedFields | array of string |
Noms des champs mis à jour dans l’incident |
|
Heure de mise à jour
|
incidentUpdates.updatedTime | date-time |
Heure de l’événement de mise à jour d’incident |
|
Origine
|
incidentUpdates.updatedBy.source | string |
Acteur qui a mis à jour l’incident : Utilisateur, Application externe, Playbook, Règle Automation, Microsoft 365 Defender ou Regroupement d’alertes |
|
Nom
|
incidentUpdates.updatedBy.name | string |
Nom de l’utilisateur, de l’application, de la règle d’automatisation ou du playbook qui a mis à jour l’incident |
|
Alertes d’incident
|
incidentUpdates.alerts | array of SecurityAlert |
Liste des alertes ajoutées à cet incident. |
|
Balises d’incident
|
incidentUpdates.labels | array of IncidentLabel |
Liste des balises ajoutées à cet incident |
|
Commentaires sur l’incident
|
incidentUpdates.comments | array of IncidentComment |
Liste des commentaires ajoutés à cet incident. |
|
Tactiques d’incident
|
incidentUpdates.tactics | array of AttackTactic |
Tactiques associées à l’incident |
|
Identifiant d’abonnement
|
workspaceInfo.SubscriptionId | string |
ID d’abonnement de l’espace de travail Microsoft Sentinel |
|
Nom du groupe de ressources
|
workspaceInfo.ResourceGroupName | string |
Groupe de ressources de l’espace de travail Microsoft Sentinel |
|
Nom de l’espace de travail
|
workspaceInfo.WorkspaceName | string |
Nom de l’espace de travail Microsoft Sentinel |
|
ID de l’espace de travail
|
workspaceId | string |
ID de l’espace de travail de l’incident. |
|
objet
|
object | FullIncident |
Obtenir un incident par ID ARM |
CreatedByUserInfo
Représente le json des propriétés UserInfo.
Représente le json des propriétés UserInfo.
UpdatedByUserInfo
Représente le json des propriétés UserInfo.
Représente le json des propriétés UserInfo.
Alerte
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nom du produit
|
ProductName | string |
Nom du produit qui a publié cette alerte |
|
type d’alerte
|
AlertType | string |
Nom de type de l’alerte |
|
Heure de début (UTC)
|
StartTimeUtc | date-time |
Heure de début de l’alerte, lorsque le premier événement de contribution a été détecté |
|
Heure de fin (UTC)
|
EndTimeUtc | date-time |
Heure de fin de l’alerte, lorsque le dernier événement de contribution a été détecté |
|
Heure générée (UTC)
|
TimeGenerated | date-time |
Heure de génération de l’alerte |
|
Niveau de gravité
|
Severity | string |
Gravité de l’alerte telle qu’elle est signalée par le fournisseur |
|
ID d’alerte du fournisseur
|
ProviderAlertId | string |
ID unique pour l’instance d’alerte spécifique définie par le fournisseur |
|
ID d’alerte système
|
SystemAlertId | string |
ID unique pour l’instance d’alerte spécifique |
|
Nom complet de l’alerte
|
AlertDisplayName | string |
Nom complet de l’alerte |
|
Descriptif
|
Description | string |
Description de l’alerte |
|
Entities
|
Entities | string |
Une liste d’entités associées à l’alerte peut inclure plusieurs types d’entités |
|
Propriétés étendues
|
ExtendedProperties | string |
Liste des champs qui seront présentés à l’utilisateur |
|
ID de l’espace de travail
|
WorkspaceId | string |
ID de l’espace de travail de l’alerte |
|
groupe de ressources
|
WorkspaceResourceGroup | string |
groupe de ressources d’alerte de l’alerte |
|
Identifiant d’abonnement
|
WorkspaceSubscriptionId | string |
ID de l’abonnement de l’alerte |
|
Liens étendus
|
ExtendedLinks | array of object |
Une liste de liens liés à l’alerte peut inclure plusieurs types |
IncidentComment
Représente un élément de commentaire d’incident
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID
|
id | string |
ID ARM complet du commentaire. |
|
Nom
|
name | string |
Nom ARM du commentaire (GUID) |
|
Propriétés
|
properties | IncidentCommentProperties |
Représente les propriétés de commentaire d’incident JSON. |
IncidentCommentProperties
Représente les propriétés de commentaire d’incident JSON.
Représente les propriétés de commentaire d’incident JSON.
IncidentTask
Représente un élément de tâche d’incident
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID
|
id | string |
ID ARM complet de la tâche. |
|
Nom
|
name | string |
Nom ARM de la tâche |
|
Propriétés
|
properties | IncidentTaskProperties |
Représente les propriétés de tâche d’incident. |
IncidentTaskProperties
IncidentRelation
Représente une relation d’incident
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID
|
id | string |
ID ARM complet de la relation d’incident. |
|
Nom
|
name | string |
Nom ARM de la relation d’incident |
|
Propriétés
|
properties | IncidentRelationProperties |
Représente une propriété de relation d’incident JSON. |
IncidentRelationProperties
Représente une propriété de relation d’incident JSON.
Représente une propriété de relation d’incident JSON.
Watchlist
Représente une watchlist dans Azure Security Insights.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Propriétés
|
properties | WatchlistProperties |
Décrit les propriétés de watchlist |
WatchlistV2
Représente une watchlist dans Azure Security Insights.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Propriétés
|
properties | WatchlistPropertiesV2 |
Décrit les propriétés de watchlist |
WatchlistProperties
Décrit les propriétés de watchlist
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
ID (guid) de la watchlist |
|
nom d’affichage
|
displayName | string |
Nom complet de la watchlist |
|
provider
|
provider | string |
Fournisseur de la liste de surveillance |
|
Source
|
source | string |
Source de la watchlist |
|
créé
|
created | date-time |
Heure de création de la watchlist |
|
Actualisé
|
updated | date-time |
La dernière fois que la watchlist a été mise à jour |
|
createdBy
|
createdBy | UserInfo |
Informations utilisateur qui ont effectué une action |
|
mis à jourPar
|
updatedBy | UserInfo |
Informations utilisateur qui ont effectué une action |
|
descriptif
|
description | string |
Description de la liste de surveillance |
|
watchlistType
|
watchlistType | string |
Type de la watchlist |
|
watchlistAlias
|
watchlistAlias | string |
Alias de la liste de surveillance |
|
isDeleted
|
isDeleted | boolean |
Indicateur qui indique si la liste de surveillance est supprimée ou non |
|
labels
|
labels | array of Label |
Liste des étiquettes pertinentes pour cette liste de surveillance |
|
defaultDuration
|
defaultDuration | duration |
Durée par défaut d’une watchlist (au format de durée ISO 8601) |
|
tenantId
|
tenantId | string |
TenantId auquel appartient la watchlist |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Nombre de lignes dans un contenu csv/tsv à ignorer avant l’en-tête |
|
rawContent
|
rawContent | string |
Contenu brut qui représente les éléments de la liste de surveillance à créer. En cas de type de contenu csv/tsv, il s’agit du contenu du fichier qui sera analysé par le point de terminaison |
|
itemsSearchKey
|
itemsSearchKey | string |
La clé de recherche est utilisée pour optimiser les performances des requêtes lors de l’utilisation de watchlists pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ comme champ clé lors de la jointure à d’autres données d’événement par adresse IP. |
|
type de contenu
|
contentType | string |
Type de contenu du contenu brut. Exemple : text/csv ou text/tsv |
|
uploadStatus
|
uploadStatus | string |
État du chargement watchlist : Nouveau, InProgress ou Terminé. Remarque pls : Lorsqu’un état de chargement watchlist est égal à InProgress, la liste de surveillance ne peut pas être supprimée |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
Nombre d’éléments watchlist dans la liste de surveillance |
WatchlistPropertiesV2
Décrit les propriétés de watchlist
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
ID (guid) de la watchlist |
|
nom d’affichage
|
displayName | string |
Nom complet de la watchlist |
|
provider
|
provider | string |
Fournisseur de la liste de surveillance |
|
Source
|
source | string |
Nom de fichier de la watchlist, appelé « source » |
|
sourceType
|
sourceType | string |
SourceType de la watchlist |
|
créé
|
created | date-time |
Heure de création de la watchlist |
|
Actualisé
|
updated | date-time |
La dernière fois que la watchlist a été mise à jour |
|
createdBy
|
createdBy | UserInfo |
Informations utilisateur qui ont effectué une action |
|
mis à jourPar
|
updatedBy | UserInfo |
Informations utilisateur qui ont effectué une action |
|
descriptif
|
description | string |
Description de la liste de surveillance |
|
watchlistType
|
watchlistType | string |
Type de la watchlist |
|
watchlistAlias
|
watchlistAlias | string |
Alias de la liste de surveillance |
|
isDeleted
|
isDeleted | boolean |
Indicateur qui indique si la liste de surveillance est supprimée ou non |
|
labels
|
labels | array of Label |
Liste des étiquettes pertinentes pour cette liste de surveillance |
|
defaultDuration
|
defaultDuration | duration |
Durée par défaut d’une watchlist (au format de durée ISO 8601) |
|
tenantId
|
tenantId | string |
TenantId auquel appartient la watchlist |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Nombre de lignes dans un contenu csv/tsv à ignorer avant l’en-tête |
|
rawContent
|
rawContent | string |
Contenu brut qui représente les éléments de la liste de surveillance à créer. En cas de type de contenu csv/tsv, il s’agit du contenu du fichier qui sera analysé par le point de terminaison |
|
itemsSearchKey
|
itemsSearchKey | string |
La clé de recherche est utilisée pour optimiser les performances des requêtes lors de l’utilisation de watchlists pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ comme champ clé lors de la jointure à d’autres données d’événement par adresse IP. |
|
type de contenu
|
contentType | string |
Type de contenu du contenu brut. Exemple : text/csv ou text/tsv |
|
uploadStatus
|
uploadStatus | string |
État du chargement watchlist : Nouveau, InProgress ou Terminé. Remarque pls : Lorsqu’un état de chargement watchlist est égal à InProgress, la liste de surveillance ne peut pas être supprimée |
WatchlistItemList
Répertorier tous les éléments de la liste de surveillance.
Répertorier tous les éléments de la liste de surveillance.
WatchlistItem
Représente un WatchlistItem dans Azure Security Insights.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
WatchlistItem Full ARM ID
|
id | string |
ID complet de l’élément watchlist. |
|
WatchlistItem Unique ID
|
name | string |
Correspond à l’ID WatchlistItem (GUID) |
|
WatchlistItem etag
|
etag | string |
Correspond à etag (GUID) |
|
Type WatchlistItem
|
type | string |
Correspond au type WatchlistItem |
|
value
|
value | object |
Détails de l’entité d’élément Watchlist. |
Signet
Représente un signet dans Azure Security Insights.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Propriétés
|
properties | BookmarkProperties |
Décrit les propriétés de signet |
BookmarkList
Répertoriez tous les signets.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
nextLink
|
nextLink | string |
URL pour récupérer le prochain ensemble de cas. |
|
value
|
value | array of Bookmark |
Tableau de signets. |
BookmarkProperties
Décrit les propriétés de signet
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
créé
|
created | date-time |
Heure de création du signet |
|
createdBy
|
createdBy | UserInfo |
Informations utilisateur qui ont effectué une action |
|
nom d’affichage
|
displayName | string |
Nom complet du signet |
|
labels
|
labels | array of Label |
Liste des étiquettes pertinentes pour ce signet |
|
Remarques
|
notes | string |
Notes du signet |
|
query
|
query | string |
Requête du signet. |
|
queryResult
|
queryResult | string |
Résultat de la requête du signet. |
|
Actualisé
|
updated | date-time |
La dernière fois que le signet a été mis à jour |
|
mis à jourPar
|
updatedBy | UserInfo |
Informations utilisateur qui ont effectué une action |
|
Heure de l'événement
|
eventTime | date-time |
Heure de l’événement de signet |
|
queryStartTime
|
queryStartTime | date-time |
Heure de début de la requête |
|
queryEndTime
|
queryEndTime | date-time |
Heure de fin de la requête |
|
incidentInfo
|
incidentInfo | Incident |
Représente un incident dans Azure Security Insights. |
Infos utilisateur
Informations utilisateur qui ont effectué une action
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Messagerie électronique
|
string |
E-mail de l’utilisateur. |
|
|
nom
|
name | string |
Nom de l’utilisateur. |
|
objectId
|
objectId | uuid |
ID d’objet de l’utilisateur. |
Étiquette
Étiquette qui sera utilisée pour baliser et filtrer.
Étiquette qui sera utilisée pour baliser et filtrer.
ficelle
Il s’agit du type de données de base « string ».