Incidents - Get
Obtient un incident donné.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2025-09-01Paramètres URI
| Nom | Dans | Obligatoire | Type | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
ID d’incident |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Nom du groupe de ressources. Le nom ne respecte pas la casse. |
|
subscription
|
path | True |
string (uuid) |
ID de l’abonnement cible. La valeur doit être un UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
Nom de l’espace de travail. |
|
api-version
|
query | True |
string minLength: 1 |
Version de l’API à utiliser pour cette opération. |
Réponses
| Nom | Type | Description |
|---|---|---|
| 200 OK |
OK, l’opération s’est terminée avec succès |
|
| Other Status Codes |
Réponse d’erreur décrivant pourquoi l’opération a échoué. |
Sécurité
azure_auth
Flux OAuth2 Azure Active Directory
Type:
oauth2
Flux:
implicit
URL d’autorisation:
https://login.microsoftonline.com/common/oauth2/authorize
Étendues
| Nom | Description |
|---|---|
| user_impersonation | emprunter l’identité de votre compte d’utilisateur |
Exemples
Get an incident.
Exemple de requête
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-09-01
Exemple de réponse
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "InaccurateData",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"InitialAccess",
"Persistence"
]
}
}
}Définitions
| Nom | Description |
|---|---|
|
Attack |
Gravité des alertes créées par cette règle d’alerte. |
|
Cloud |
Structure de réponse d’erreur. |
|
Cloud |
Détails de l’erreur. |
|
created |
Type d’identité qui a créé la ressource. |
| Incident |
Représente un incident dans Azure Security Insights. |
|
Incident |
Conteneur de propriétés de données supplémentaires d’incident. |
|
Incident |
La raison pour laquelle l’incident a été fermé |
|
Incident |
La raison de classification avec laquelle l’incident a été fermé |
|
Incident |
Représente une étiquette d’incident |
|
Incident |
Le type de l’étiquette |
|
Incident |
Informations sur l’utilisateur auquel un incident est affecté |
|
Incident |
Gravité de l’incident |
|
Incident |
État de l’incident |
|
Owner |
Type du propriétaire auquel l’incident est affecté. |
|
system |
Métadonnées relatives à la création et à la dernière modification de la ressource. |
AttackTactic
Gravité des alertes créées par cette règle d’alerte.
| Valeur | Description |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
Structure de réponse d’erreur.
| Nom | Type | Description |
|---|---|---|
| error |
Données d’erreur |
CloudErrorBody
Détails de l’erreur.
| Nom | Type | Description |
|---|---|---|
| code |
string |
Identificateur de l’erreur. Les codes sont invariants et sont destinés à être consommés par programme. |
| message |
string |
Message décrivant l’erreur, destiné à être adapté à l’affichage dans une interface utilisateur. |
createdByType
Type d’identité qui a créé la ressource.
| Valeur | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Incident
Représente un incident dans Azure Security Insights.
| Nom | Type | Description |
|---|---|---|
| etag |
string |
Etag de la ressource Azure |
| id |
string (arm-id) |
ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} » |
| name |
string |
Nom de la ressource |
| properties.additionalData |
Données supplémentaires sur l’incident |
|
| properties.classification |
La raison pour laquelle l’incident a été fermé |
|
| properties.classificationComment |
string |
Décrit la raison pour laquelle l’incident a été fermé |
| properties.classificationReason |
La raison de classification avec laquelle l’incident a été fermé |
|
| properties.createdTimeUtc |
string (date-time) |
L’heure à laquelle l’incident a été créé |
| properties.description |
string |
Description de l’incident |
| properties.firstActivityTimeUtc |
string (date-time) |
Heure de la première activité dans l’incident |
| properties.incidentNumber |
integer (int32) |
Un numéro séquentiel |
| properties.incidentUrl |
string |
L’URL du lien profond vers l’incident dans le portail Azure |
| properties.labels |
Liste des étiquettes pertinentes pour cet incident |
|
| properties.lastActivityTimeUtc |
string (date-time) |
Heure de la dernière activité dans l’incident |
| properties.lastModifiedTimeUtc |
string (date-time) |
La dernière fois que l’incident a été mis à jour |
| properties.owner |
Décrit un utilisateur auquel l’incident est affecté |
|
| properties.providerIncidentId |
string |
ID d’incident attribué par le fournisseur d’incidents |
| properties.providerName |
string |
Nom du fournisseur source qui a généré l’incident |
| properties.relatedAnalyticRuleIds |
string[] (arm-id) |
Liste des identifiants de ressources des règles analytiques liées à l’incident |
| properties.severity |
Gravité de l’incident |
|
| properties.status |
État de l’incident |
|
| properties.title |
string |
Titre de l’incident |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
IncidentAdditionalData
Conteneur de propriétés de données supplémentaires d’incident.
| Nom | Type | Description |
|---|---|---|
| alertProductNames |
string[] |
Liste des noms de produits des alertes dans l’incident |
| alertsCount |
integer (int32) |
Le nombre d’alertes dans l’incident |
| bookmarksCount |
integer (int32) |
Le nombre de signets dans l’incident |
| commentsCount |
integer (int32) |
Le nombre de commentaires dans l’incident |
| providerIncidentUrl |
string |
URL de l’incident du fournisseur vers l’incident dans le portail Microsoft 365 Defender |
| tactics |
Les tactiques associées à l’incident |
IncidentClassification
La raison pour laquelle l’incident a été fermé
| Valeur | Description |
|---|---|
| Undetermined |
La classification de l’incident était indéterminée |
| TruePositive |
L’incident était vraiment positif |
| BenignPositive |
L’incident était bénin positif |
| FalsePositive |
L’incident était un faux positif |
IncidentClassificationReason
La raison de classification avec laquelle l’incident a été fermé
| Valeur | Description |
|---|---|
| SuspiciousActivity |
La raison de la classification était une activité suspecte |
| SuspiciousButExpected |
La raison de la classification était suspecte, mais attendue |
| IncorrectAlertLogic |
La raison de la classification était une logique d’alerte incorrecte |
| InaccurateData |
La raison de la classification était des données inexactes |
IncidentLabel
Représente une étiquette d’incident
| Nom | Type | Description |
|---|---|---|
| labelName |
string |
Nom de l’étiquette |
| labelType |
Le type de l’étiquette |
IncidentLabelType
Le type de l’étiquette
| Valeur | Description |
|---|---|
| User |
Étiquette créée manuellement par un utilisateur |
| AutoAssigned |
Étiquette créée automatiquement par le système |
IncidentOwnerInfo
Informations sur l’utilisateur auquel un incident est affecté
| Nom | Type | Description |
|---|---|---|
| assignedTo |
string |
Nom de l’utilisateur auquel l’incident est affecté. |
|
string |
E-mail de l’utilisateur auquel l’incident est affecté. |
|
| objectId |
string (uuid) |
ID d’objet de l’utilisateur auquel l’incident est affecté. |
| ownerType |
Type du propriétaire auquel l’incident est affecté. |
|
| userPrincipalName |
string |
Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. |
IncidentSeverity
Gravité de l’incident
| Valeur | Description |
|---|---|
| High |
Gravité élevée |
| Medium |
Gravité moyenne |
| Low |
Faible gravité |
| Informational |
Gravité de l’information |
IncidentStatus
État de l’incident
| Valeur | Description |
|---|---|
| New |
Un incident actif qui n’est pas traité à l’heure actuelle |
| Active |
Un incident actif en cours de traitement |
| Closed |
Un incident non actif |
OwnerType
Type du propriétaire auquel l’incident est affecté.
| Valeur | Description |
|---|---|
| Unknown |
Le type de propriétaire de l’incident est inconnu |
| User |
Le type de propriétaire de l’incident est un utilisateur AAD |
| Group |
Le type de propriétaire de l’incident est un groupe AAD |
systemData
Métadonnées relatives à la création et à la dernière modification de la ressource.
| Nom | Type | Description |
|---|---|---|
| createdAt |
string (date-time) |
Horodatage de la création de ressources (UTC). |
| createdBy |
string |
Identité qui a créé la ressource. |
| createdByType |
Type d’identité qui a créé la ressource. |
|
| lastModifiedAt |
string (date-time) |
Horodatage de la dernière modification de ressource (UTC) |
| lastModifiedBy |
string |
Identité qui a modifié la ressource pour la dernière fois. |
| lastModifiedByType |
Type d’identité qui a modifié la ressource pour la dernière fois. |