次の方法で共有

Incidents - Get

サービス:
Sentinel
API バージョン:
2025-09-01

特定のインシデントを取得します。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2025-09-01

URI パラメーター

名前 / 必須 説明
incidentId
 path True

string

インシデント ID
resourceGroupName
 path True

string

minLength: 1
maxLength: 90

リソース グループの名前。 名前は大文字と小文字が区別されます。
subscriptionId
 path True

string (uuid)

ターゲット サブスクリプションの ID。 値は UUID である必要があります。
workspaceName
 path True

string

minLength: 1
maxLength: 90
pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

ワークスペースの名前。
api-version
 query True

string

minLength: 1

この操作に使用する API バージョン。

応答

名前 説明
200 OK

Incident

OK、操作は正常に完了しました
Other Status Codes

CloudError

操作が失敗した理由を説明するエラー応答。

セキュリティ

azure_auth

Azure Active Directory OAuth2 フロー

型: oauth2
フロー: implicit
Authorization URL (承認 URL): https://login.microsoftonline.com/common/oauth2/authorize

スコープ

名前 説明
user_impersonation ユーザー アカウントを偽装する

Get an incident.

要求のサンプル

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-09-01

応答のサンプル

状態コード:
200 
{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "InaccurateData",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [
      "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
    ],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": [
        "InitialAccess",
        "Persistence"
      ]
    }
  }
}

定義

名前 説明
AttackTactic

このアラート ルールによって作成されたアラートの重大度。
CloudError

エラー応答構造。
CloudErrorBody

エラーの詳細。
createdByType

リソースを作成した ID の種類。
Incident

Azure Security Insights のインシデントを表します。
IncidentAdditionalData

インシデントの追加データ プロパティ バッグ。
IncidentClassification

インシデントが閉じられた理由
IncidentClassificationReason

インシデントが閉じられた分類の理由
IncidentLabel

インシデント ラベルを表します
IncidentLabelType

ラベルの種類
IncidentOwnerInfo

インシデントが割り当てられているユーザーに関する情報
IncidentSeverity

インシデントの重大度
IncidentStatus

インシデントの状態
OwnerType

インシデントが割り当てられている所有者の種類。
systemData

リソースの作成と最後の変更に関連するメタデータ。

AttackTactic

列挙

このアラート ルールによって作成されたアラートの重大度。

説明
Reconnaissance
ResourceDevelopment
InitialAccess
Execution
Persistence
PrivilegeEscalation
DefenseEvasion
CredentialAccess
Discovery
LateralMovement
Collection
Exfiltration
CommandAndControl
Impact
PreAttack
ImpairProcessControl
InhibitResponseFunction

CloudError

Object

エラー応答構造。

名前 説明
error

CloudErrorBody

エラーデータ

CloudErrorBody

Object

エラーの詳細。

名前 説明
code

string

エラーの識別子。 コードは不変であり、プログラムで使用することを目的としています。
message

string

ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。

createdByType

列挙

リソースを作成した ID の種類。

説明
User
Application
ManagedIdentity
Key

Incident

Object

Azure Security Insights のインシデントを表します。

名前 説明
etag

string

Azure リソースの Etag
id

string (arm-id)

リソースの完全修飾リソース ID。 例: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}"
name

string

リソースの名前
properties.additionalData

IncidentAdditionalData

インシデントに関する追加データ
properties.classification

IncidentClassification

インシデントが閉じられた理由
properties.classificationComment

string

インシデントが閉じられた理由について説明します
properties.classificationReason

IncidentClassificationReason

インシデントが閉じられた分類の理由
properties.createdTimeUtc

string (date-time)

インシデントが作成された時刻
properties.description

string

インシデントの説明
properties.firstActivityTimeUtc

string (date-time)

インシデントの最初のアクティビティの時刻
properties.incidentNumber

integer (int32)

連番
properties.incidentUrl

string

Azure portal のインシデントへのディープ リンク URL
properties.labels

IncidentLabel[]

このインシデントに関連するラベルのリスト
properties.lastActivityTimeUtc

string (date-time)

インシデントの最後のアクティビティの時刻
properties.lastModifiedTimeUtc

string (date-time)

インシデントが最後に更新された時刻
properties.owner

IncidentOwnerInfo

インシデントが割り当てられているユーザーについて説明します
properties.providerIncidentId

string

インシデント プロバイダーによって割り当てられたインシデント ID
properties.providerName

string

インシデントを生成したソース プロバイダーの名前
properties.relatedAnalyticRuleIds

string[] (arm-id)

インシデントに関連する分析ルールのリソース ID のリスト
properties.severity

IncidentSeverity

インシデントの重大度
properties.status

IncidentStatus

インシデントの状態
properties.title

string

インシデントのタイトル
systemData

systemData

createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。
type

string

リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

Object

インシデントの追加データ プロパティ バッグ。

名前 説明
alertProductNames

string[]

インシデント内のアラートの製品名の一覧
alertsCount

integer (int32)

インシデント内のアラートの数
bookmarksCount

integer (int32)

インシデント内のブックマークの数
commentsCount

integer (int32)

インシデントのコメント数
providerIncidentUrl

string

Microsoft 365 Defender ポータルのインシデントへのプロバイダー インシデント URL
tactics

AttackTactic[]

インシデントに関連する戦術

IncidentClassification

列挙

インシデントが閉じられた理由

説明
Undetermined

インシデントの分類は未定でした
TruePositive

インシデントは真陽性でした
BenignPositive

事件は良性陽性でした
FalsePositive

インシデントは誤検知でした

IncidentClassificationReason

列挙

インシデントが閉じられた分類の理由

説明
SuspiciousActivity

分類理由は不審な活動でした
SuspiciousButExpected

分類理由は疑わしいが予想
IncorrectAlertLogic

分類の理由は、アラート ロジックが正しくありませんでした
InaccurateData

分類理由は不正確なデータでした

IncidentLabel

Object

インシデント ラベルを表します

名前 説明
labelName

string

ラベルの名前
labelType

IncidentLabelType

ラベルの種類

IncidentLabelType

列挙

ラベルの種類

説明
User

ユーザーが手動で作成したラベル
AutoAssigned

システムによって自動的に作成されるラベル

IncidentOwnerInfo

Object

インシデントが割り当てられているユーザーに関する情報

名前 説明
assignedTo

string

インシデントが割り当てられているユーザーの名前。
email

string

インシデントが割り当てられているユーザーの電子メール。
objectId

string (uuid)

インシデントが割り当てられているユーザーのオブジェクト ID。
ownerType

OwnerType

インシデントが割り当てられている所有者の種類。
userPrincipalName

string

インシデントが割り当てられているユーザーのユーザー プリンシパル名。

IncidentSeverity

列挙

インシデントの重大度

説明
High

高い重大度
Medium

重大度が中程度
Low

重大度が低い
Informational

情報の重大度

IncidentStatus

列挙

インシデントの状態

説明
New

現在処理されていないアクティブなインシデント
Active

処理中のアクティブなインシデント
Closed

非アクティブなインシデント

OwnerType

列挙

インシデントが割り当てられている所有者の種類。

説明
Unknown

インシデント所有者の種類が不明です
User

インシデント所有者の種類は AAD ユーザーです
Group

インシデント所有者の種類は AAD グループです

systemData

Object

リソースの作成と最後の変更に関連するメタデータ。

名前 説明
createdAt

string (date-time)

リソース作成のタイムスタンプ (UTC)。
createdBy

string

リソースを作成した ID。
createdByType

createdByType

リソースを作成した ID の種類。
lastModifiedAt

string (date-time)

リソースの最終変更のタイムスタンプ (UTC)
lastModifiedBy

string

リソースを最後に変更した ID。
lastModifiedByType

createdByType

リソースを最後に変更した ID の種類。