Microsoft Sentinel (preview)
Cloudeigen SIEM met een ingebouwde AI, zodat u zich kunt richten op wat het belangrijkst is
Deze connector is beschikbaar in de volgende producten en regio's:
| Dienst | Class | Regions |
|---|---|---|
| Logic-apps | Standaard | Alle Logic Apps-regio's |
| Contactpersoon | |
|---|---|
| Naam | Microsoft |
| URL |
Ondersteuning voor Microsoft LogicApps |
| Connectormetagegevens | |
|---|---|
| Uitgever | Microsoft |
| Webpagina | https://azure.microsoft.com/services/azure-sentinel/ |
Microsoft Sentinel-connector
Diepte van verbindingslijn
Meer informatie over het gebruik van deze connector:
- Playbooks verifiëren bij Azure Sentinel
- Triggers en acties gebruiken in playbooks
- Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel
Authenticatie
Triggers en acties in de Mcirosoft Sentinel-connector kunnen worden uitgevoerd namens elke identiteit met de benodigde machtigingen (lezen en/of schrijven) voor de relevante werkruimte. De connector ondersteunt meerdere identiteitstypen:
- Beheerde identiteit (preview)
- Microsoft Entra ID-gebruiker
- Service-principal (Microsoft Entra ID-toepassing)
Vereiste toestemmingen
| Rollen/connectoronderdelen | Triggers | Acties ophalen | Incident bijwerken, een opmerking toevoegen |
|---|---|---|---|
| Microsoft Sentinel-lezer | ✓ | ✓ | ✗ |
| Microsoft Sentinel Responder/Bijdrager | ✓ | ✓ | ✓ |
Meer informatie over machtigingen in Microsoft Sentinel.
Meer informatie over het gebruik van de verschillende verificatieopties.
Bekende problemen en beperkingen
Kan geen logische app activeren die wordt aangeroepen door een Microsoft Sentinel-trigger met behulp van de knop Trigger uitvoeren
Een gebruiker kan de knop Trigger uitvoeren niet gebruiken op de blade Overzicht van de Logic Apps-service om een Microsoft Sentinel-playbook te activeren.
Azure Logic Apps wordt geactiveerd door een POST REST-aanroep, waarvan de hoofdtekst de invoer is voor de trigger. Logic Apps die beginnen met Microsoft Sentinel-triggers verwachten dat de inhoud van een Microsoft Sentinel-waarschuwing of incident in de hoofdtekst van de oproep wordt weergegeven. Wanneer de aanroep afkomstig is van de blade Overzicht van Logic Apps, is de hoofdtekst van de aanroep leeg en wordt er daarom een fout gegenereerd.
Dit zijn de enige juiste manieren om Microsoft Sentinel-playbooks te activeren:
- Handmatige trigger in Microsoft Sentinel
- Geautomatiseerde reactie van een analyseregel (rechtstreeks of via een automatiseringsregel) in Microsoft Sentinel
- De knop Opnieuw verzenden gebruiken op een bestaande blade voor het uitvoeren van Logic Apps
- Het Logic Apps-eindpunt rechtstreeks aanroepen (een waarschuwing/incident als hoofdtekst koppelen)
Hetzelfde incident parallel bijwerken voor elke lus
Voor elke lus wordt standaard parallel uitgevoerd, maar kan eenvoudig worden ingesteld om sequentieel uit te voeren. Als een voor elke lus hetzelfde Microsoft Sentinel-incident in afzonderlijke iteraties kan bijwerken, moet deze worden geconfigureerd om sequentieel uit te voeren.
De oorspronkelijke query van de waarschuwing herstellen wordt momenteel niet ondersteund via Logic Apps
Het gebruik van de Azure Monitor Logs-connector voor het ophalen van de gebeurtenissen die zijn vastgelegd door de geplande regel voor waarschuwingsanalyse, is niet consistent betrouwbaar.
- Azure Monitor-logboeken bieden geen ondersteuning voor de definitie van een aangepast tijdsbereik. Als u exact dezelfde queryresultaten wilt herstellen, moet u exact hetzelfde tijdsbereik definiëren als in de oorspronkelijke query.
- Waarschuwingen kunnen worden vertraagd bij het weergeven in de Log Analytics-werkruimte nadat de regel het playbook heeft geactiveerd.
Beschikbare middelen
Microsoft Sentinel-documenten
- Geavanceerde automatisering met playbooks
- Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel
- Playbooks verifiëren bij Microsoft Sentinel
- Triggers en acties gebruiken in playbooks
Microsoft Sentinel-verwijzingen
Azure Logic Apps
Een verbinding maken
De connector ondersteunt de volgende verificatietypen:
| standaard | Parameters voor het maken van verbinding. | Alle regio's | Niet deelbaar |
Verstek
Van toepassing: Alle regio's
Parameters voor het maken van verbinding.
Dit is geen deelbare verbinding. Als de power-app wordt gedeeld met een andere gebruiker, wordt een andere gebruiker gevraagd om expliciet een nieuwe verbinding te maken.
Beperkingslimieten
| Name | Aanroepen | Verlengingsperiode |
|---|---|---|
| API-aanroepen per verbinding | 600 | 60 seconden |
Acties
| ASI-trigger afmelden [AFGESCHAFT] |
Afmelden |
| Bedreigingsinformatie - STIX-objecten uploaden (preview) |
UPLOAD STIX-objecten bulksgewijs met behulp van de API voor het uploaden van bedreigingsinformatie. |
| Bedreigingsinformatie: Indicatoren voor inbreuk uploaden (afgeschaft) |
Bedreigingsinformatie - Indicatoren voor inbreuk uploaden |
| Bedreigingsinformatie: Indicatoren voor inbreuk uploaden (V2) (preview) |
Upload indicatoren bulksgewijs met behulp van de API Voor bedreigingsinformatie uploadindicatoren. |
| Beschrijving van incident wijzigen (V2) (afgeschaft) [AFGESCHAFT] |
beschrijving van geselecteerd incident wijzigen |
| Beschrijving van incident wijzigen [AFGESCHAFT] |
beschrijving van geselecteerd incident wijzigen |
| Bladwijzers (V2): een nieuwe bladwijzer maken (json-invoer) (preview) |
Bladwijzers (V2): maak een geldige nieuwe bladwijzer (json). |
| Bladwijzers (V3) - Hiermee maakt u een nieuwe bladwijzer met afzonderlijke velden (preview) |
Bladwijzers (V3): maak een nieuwe bladwijzer. |
| Bladwijzers - Alle bladwijzers ophalen |
Bladwijzers - Alle bladwijzers voor een bepaalde werkruimte ophalen |
| Bladwijzers - Een bladwijzer ophalen |
Bladwijzers - Een bladwijzer ophalen op id |
| Bladwijzers - Een bladwijzer verwijderen |
Bladwijzers - Een bladwijzer verwijderen |
| Bladwijzers - Nieuwe bladwijzer maken (preview) |
Bladwijzers: hiermee maakt u een nieuwe bladwijzer. |
| Een taak markeren als voltooid |
Een taak markeren als voltooid |
| Entiteiten - Accounts ophalen |
Retourneert een lijst met accounts die zijn gekoppeld aan de waarschuwing |
| Entiteiten - DNS ophalen |
Retourneert een lijst met DNS-records die zijn gekoppeld aan de waarschuwing |
|
Entiteiten - File |
Retourneert een lijst met bestands-hashes die zijn gekoppeld aan de waarschuwing |
| Entiteiten - Hosts ophalen |
Retourneert een lijst met hosts die zijn gekoppeld aan de waarschuwing |
| Entiteiten - IP's ophalen |
Retourneert een lijst met IP-adressen die zijn gekoppeld aan de waarschuwing |
| Entiteiten - URL's ophalen |
Retourneert een lijst met URL's die zijn gekoppeld aan de waarschuwing |
| Ernst van incident wijzigen (afgeschaft) [AFGESCHAFT] |
de ernst van het geselecteerde incident wordt gewijzigd |
| Incident bijwerken |
Incident bijwerken met opgegeven velden |
| Incident maken |
Incident maken met opgegeven velden |
| Incident ophalen |
Een incident ophalen op ARM-id |
| Incidentstatus wijzigen (afgeschaft) [AFGESCHAFT] |
status van geselecteerd incident wijzigen |
| Labels toevoegen aan incident (afgeschaft) [AFGESCHAFT] |
Labels toevoegen aan geselecteerd incident |
| Labels verwijderen uit incident (afgeschaft) [AFGESCHAFT] |
Labels verwijderen naar geselecteerd incident |
| Opmerking toevoegen aan incident (V2) |
Opmerking toevoegen aan geselecteerd incident |
| Opmerking toevoegen aan incident (V3) |
Opmerking toevoegen aan geselecteerd incident |
| Opmerking toevoegen aan incident [AFGESCHAFT] |
Deze actie is afgeschaft. Gebruik in plaats daarvan Opmerking toevoegen aan incident (V3 ).
|
| Taak toevoegen aan incident |
Een taak toevoegen aan een bestaand incident |
| Titel van incident wijzigen (V2) (afgeschaft) [AFGESCHAFT] |
titel van geselecteerd incident wijzigen |
| Titel van incident wijzigen [AFGESCHAFT] |
titel van geselecteerd incident wijzigen |
| Volglijsten - Alle volglijstitems voor een bepaalde watchlist ophalen |
Volglijsten - Alle volglijstitems voor een bepaalde watchlist ophalen |
| Volglijsten - Alle volglijstitems voor een bepaalde watchlist ophalen (V2) |
Volglijsten - Alle volglijstitems voor een bepaalde watchlist ophalen (V2) |
| Volglijsten - Een bestaand volglijstitem bijwerken |
Volglijsten - Een bestaand volglijstitem bijwerken |
| Volglijsten - Een grote volglijst maken met behulp van een SAS-URI |
Volglijsten - Een grote volglijst maken met behulp van een SAS-URI |
| Volglijsten - Een grote volglijst maken met behulp van een SAS-URI (V2) |
Volglijsten - Een grote volglijst maken met behulp van een SAS-URI (V2) |
| Volglijsten - Een nieuw volglijstitem toevoegen |
Volglijsten - Een nieuw volglijstitem toevoegen |
| Volglijsten - Een nieuwe volglijst maken met gegevens (Onbewerkte inhoud) |
Volglijsten - Een nieuwe volglijst maken met gegevens (Onbewerkte inhoud) |
| Volglijsten - Een nieuwe volglijst maken met gegevens (Onbewerkte inhoud) (V2) |
Volglijsten - Een nieuwe volglijst maken met gegevens (Onbewerkte inhoud) (V2) |
| Volglijsten - Een volglijst verwijderen |
Volglijsten - Een volglijst verwijderen |
| Volglijsten - Een volglijst verwijderen (V2) |
Hiermee verwijdert u een bepaalde volglijst op alias. |
| Volglijsten - Een volglijstitem ophalen op id (guid) |
Volglijsten - Een volglijstitem ophalen |
| Volglijsten - Een volglijstitem verwijderen |
Volglijsten - Een volglijstitem verwijderen |
| Volglijsten - Een volglijstitem verwijderen (V2) |
Volglijsten - Een volglijstitem verwijderen (V2) |
| Volglijsten - Een watchlist ophalen op alias |
Volglijsten - Een watchlist ophalen op alias |
| Waarschuwing - Incident ophalen |
Retourneert het incident dat is gekoppeld aan de geselecteerde waarschuwing |
| Waarschuwing - Incident ophalen |
Retourneert het incident dat is gekoppeld aan de geselecteerde waarschuwing |
| Waarschuwing toevoegen aan incident |
Voeg een waarschuwing toe aan een bestaand incident. De waarschuwing voegt zich aan het incident toe als elke andere waarschuwing en wordt weergegeven in de portal. |
| Waarschuwing verwijderen uit incident |
Verwijder een waarschuwing uit een bestaand incident. |
ASI-trigger afmelden [AFGESCHAFT]
Bedreigingsinformatie - STIX-objecten uploaden (preview)
UPLOAD STIX-objecten bulksgewijs met behulp van de API voor het uploaden van bedreigingsinformatie.
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
Retouren
Antwoord van Threat Intelligence Uplaod-API. Dit zijn fouten voor ongeldige objecten in de aanvraagbody.
- Artikelen
- UploadApiValidationErrors
Bedreigingsinformatie: Indicatoren voor inbreuk uploaden (afgeschaft)
Bedreigingsinformatie - Indicatoren voor inbreuk uploaden
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
Retouren
Reactie van Bedreigingsinformatie uplaod-indicatoren.
- Artikelen
- IndicatorValidationErrors
Bedreigingsinformatie: Indicatoren voor inbreuk uploaden (V2) (preview)
Upload indicatoren bulksgewijs met behulp van de API Voor bedreigingsinformatie uploadindicatoren.
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
Retouren
Antwoord van Threat Intelligence Uplaod-API. Dit zijn fouten voor ongeldige objecten in de aanvraagbody.
- Artikelen
- UploadApiValidationErrors
Beschrijving van incident wijzigen (V2) (afgeschaft) [AFGESCHAFT]
beschrijving van geselecteerd incident wijzigen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
Beschrijving opgeven
|
Value | True | string |
Beschrijvingswaarde |
Retouren
- response
- string
Beschrijving van incident wijzigen [AFGESCHAFT]
beschrijving van geselecteerd incident wijzigen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
Beschrijving opgeven
|
fieldValue | True | string |
Beschrijvingswaarde |
Retouren
- response
- string
Bladwijzers (V2): een nieuwe bladwijzer maken (json-invoer) (preview)
Bladwijzers (V2): maak een geldige nieuwe bladwijzer (json).
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Weergavenaam van bladwijzer
|
displayName | True | string |
De weergavenaam van de bladwijzer |
|
Bladwijzerquery
|
bookmarkQuery | True | string |
Bladwijzerquery (bijvoorbeeld 'SecurityEvent | where TimeGenerated > ago(1d) and TimeGenerated < ago(2d)') |
|
Resultaat bladwijzerquery
|
bookmarkQueryResult | True | string |
Resultaat van bladwijzerquery (bijvoorbeeld 'Queryresultaat van beveiligingsevenement') |
|
Bladwijzernotities
|
bookmarkNotes | string |
Bladwijzernotities (bijvoorbeeld 'Mijn bladwijzernotities') |
Retouren
Vertegenwoordigt een bladwijzer in Azure Security Insights.
- Body
- Bookmark
Bladwijzers (V3) - Hiermee maakt u een nieuwe bladwijzer met afzonderlijke velden (preview)
Bladwijzers (V3): maak een nieuwe bladwijzer.
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Weergavenaam van bladwijzer opgeven
|
bookmarkName | True | string |
Weergavenaam van bladwijzer (bijvoorbeeld 'Mijn bladwijzer') |
|
Bladwijzerquery opgeven
|
bookmarkQuery | True | string |
Bladwijzerquery (bijvoorbeeld 'SecurityEvent | where TimeGenerated > ago(1d) and TimeGenerated < ago(2d)') |
|
Queryresultaat bladwijzer opgeven
|
bookmarkQueryResult | True | string |
Resultaat van bladwijzerquery (bijvoorbeeld 'Queryresultaat van beveiligingsevenement') |
|
Bladwijzernotities opgeven
|
bookmarkNotes | True | string |
Bladwijzernotities (bijvoorbeeld 'Mijn bladwijzernotities') |
Retouren
Vertegenwoordigt een bladwijzer in Azure Security Insights.
- Body
- Bookmark
Bladwijzers - Alle bladwijzers ophalen
Bladwijzers - Alle bladwijzers voor een bepaalde werkruimte ophalen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Aantal bladwijzers opgeven
|
numberOfBookmarks | True | integer |
Aantal bladwijzers dat moet worden geretourneerd. 0 of negatief om alle bladwijzers te retourneren |
Retouren
Geef alle bladwijzers weer.
- Body
- BookmarkList
Bladwijzers - Een bladwijzer ophalen
Bladwijzers - Een bladwijzer ophalen op id
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Bladwijzer-id opgeven
|
bookmarkId | True | string |
Id van bladwijzer |
Retouren
Vertegenwoordigt een bladwijzer in Azure Security Insights.
- Body
- Bookmark
Bladwijzers - Een bladwijzer verwijderen
Bladwijzers - Een bladwijzer verwijderen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Bladwijzer-id opgeven
|
bookmarkId | True | string |
Id van bladwijzer |
Retouren
- response
- string
Bladwijzers - Nieuwe bladwijzer maken (preview)
Bladwijzers: hiermee maakt u een nieuwe bladwijzer.
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Bladwijzer-id opgeven
|
bookmarkId | True | string |
Id van bladwijzer |
|
geschapen
|
created | date-time |
Het tijdstip waarop de bladwijzer is gemaakt |
|
|
e-mailadres
|
string |
Het e-mailadres van de gebruiker. |
||
|
naam
|
name | string |
De naam van de gebruiker. |
|
|
objectId
|
objectId | uuid |
De object-id van de gebruiker. |
|
|
displayName
|
displayName | True | string |
De weergavenaam van de bladwijzer |
|
labels
|
labels | string |
Label dat wordt gebruikt om te taggen en te filteren. |
|
|
Notities
|
notes | string |
De notities van de bladwijzer |
|
|
query
|
query | True | string |
De query van de bladwijzer. |
|
queryResult
|
queryResult | string |
Het queryresultaat van de bladwijzer. |
|
|
Bijgewerkt
|
updated | date-time |
De laatste keer dat de bladwijzer is bijgewerkt |
|
|
evenementtijd
|
eventTime | date-time |
De gebeurtenistijd van de bladwijzer |
|
|
queryStartTime
|
queryStartTime | date-time |
De begintijd voor de query |
|
|
queryEndTime
|
queryEndTime | date-time |
De eindtijd voor de query |
|
|
ARM-id voor incident
|
id | string |
De volledige gekwalificeerde ARM-id van het incident. |
|
|
ARM-naam voor incident
|
name | string |
De ARM-naam van het incident (GUID) |
|
|
Aantal incidentwaarschuwingen
|
alertsCount | integer |
Het aantal waarschuwingen in het incident |
|
|
Aantal incidentbladwijzers
|
bookmarksCount | integer |
Het aantal bladwijzers in het incident |
|
|
Aantal incidentopmerkingen
|
commentsCount | integer |
Het aantal opmerkingen in het incident |
|
|
Productnamen van incidentwaarschuwingen
|
alertProductNames | array of string |
Lijst met productnamen van waarschuwingen in het incident |
|
|
Url van providerincident
|
providerIncidentUrl | string |
De URL naar het incident in de Microsoft Defender-portal |
|
|
Samengevoegd incidentnummer
|
mergedIncidentNumber | string |
Het incidentnummer van het incident waarmee het huidige incident is samengevoegd |
|
|
Url van samengevoegd incident
|
mergedIncidentUrl | string |
De URL naar het incident waaraan het huidige incident is samengevoegd |
|
|
Incidenttactieken
|
Incident Tactics | string |
Vertegenwoordigt een tactiekitem dat is gekoppeld aan het incident |
|
|
Incidenttechnieken
|
techniques | array of string |
De technieken die verband houden met de tactieken van incidenten' |
|
|
Incidentclassificatie
|
classification | string |
De reden waarom het incident is gesloten |
|
|
Opmerking bij incidentclassificatie
|
classificationComment | string |
Beschrijft de reden waarom het incident is gesloten |
|
|
Reden voor incidentclassificatie
|
classificationReason | string |
De classificatiereden voor het incident is gesloten met |
|
|
Tijdstip waarop het incident is gemaakt utc
|
createdTimeUtc | date-time |
Het tijdstip waarop het incident is gemaakt |
|
|
Beschrijving van incident
|
description | string |
De beschrijving van het incident |
|
|
Incident First Activity Time UTC
|
firstActivityTimeUtc | date-time |
De tijd van de eerste activiteit in het incident |
|
|
Incident-URL
|
incidentUrl | string |
De URL van de dieptekoppeling naar het incident in Azure Portal |
|
|
Incident-id van provider
|
providerIncidentId | string |
De incident-id die is toegewezen door de incidentprovider |
|
|
Incident Sentinel-id
|
incidentNumber | integer |
Een volgnummer dat wordt gebruikt om het incident in Microsoft Sentinel te identificeren. |
|
|
Tijd van laatste activiteit van incident UTC
|
lastActivityTimeUtc | date-time |
De tijd van de laatste activiteit in het incident |
|
|
Ernst van incident
|
severity | string |
De ernst van het incident |
|
|
Incidentstatus
|
status | string |
De status van het incident |
|
|
Titel van incident
|
title | string |
De titel van het incident |
|
|
Naam
|
labelName | True | string |
De naam van de tag |
|
Typologie
|
labelType | string |
Het type tag |
|
|
Tijdstip van laatste wijziging van incident UTC
|
lastModifiedTimeUtc | date-time |
De laatste keer dat het incident is bijgewerkt |
|
|
E-mailen
|
string |
Het e-mailadres van de gebruiker waaraan het incident is toegewezen. |
||
|
Assigned To
|
assignedTo | string |
De naam van de gebruiker waaraan het incident is toegewezen. (assignedTo field) |
|
|
ObjectId
|
objectId | uuid |
De object-id van de gebruiker waaraan het incident is toegewezen. |
|
|
Hoofdgebruikersnaam
|
userPrincipalName | string |
De principal-naam van de gebruiker waaraan het incident is toegewezen. |
|
|
Incidentgerelateerde analyseregel-id's
|
relatedAnalyticRuleIds | array of string |
Lijst met resource-id's van analyseregels met betrekking tot het incident |
|
|
ID-kaart
|
id | string |
De volledige gekwalificeerde ARM-id van de opmerking. |
|
|
Naam
|
name | string |
De ARM-naam van de opmerking (GUID) |
|
|
properties
|
properties |
Vertegenwoordigt eigenschappen van incidentcommentaar JSON. |
Retouren
Vertegenwoordigt een bladwijzer in Azure Security Insights.
- Body
- Bookmark
Een taak markeren als voltooid
Een taak markeren als voltooid
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
ARM-id van taak
|
taskArmId | True | string |
ARM-id van taak |
Retouren
Vertegenwoordigt een incidenttaakitem
- Incidenttaak
- IncidentTask
Entiteiten - Accounts ophalen
Retourneert een lijst met accounts die zijn gekoppeld aan de waarschuwing
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Lijst met entiteiten
|
body | True | string |
Lijst met entiteiten |
Retouren
Een lijst met accounts die zijn gekoppeld aan de waarschuwing
- Body
- BatchResponseAccount
Entiteiten - DNS ophalen
Retourneert een lijst met DNS-records die zijn gekoppeld aan de waarschuwing
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Lijst met entiteiten
|
body | True | string |
Lijst met entiteiten |
Retouren
Een lijst met DNS-domeinen die zijn gekoppeld aan de waarschuwing
- Body
- BatchResponseDNS
Entiteiten - FileHashes ophalen
Retourneert een lijst met bestands-hashes die zijn gekoppeld aan de waarschuwing
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Lijst met entiteiten
|
body | True | string |
Lijst met entiteiten |
Retouren
Een lijst met bestands-hashes die zijn gekoppeld aan de waarschuwing
Entiteiten - Hosts ophalen
Retourneert een lijst met hosts die zijn gekoppeld aan de waarschuwing
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Lijst met entiteiten
|
body | True | string |
Lijst met entiteiten |
Retouren
Een lijst met hosts die zijn gekoppeld aan de waarschuwing
- Body
- BatchResponseHost
Entiteiten - IP's ophalen
Retourneert een lijst met IP-adressen die zijn gekoppeld aan de waarschuwing
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Lijst met entiteiten
|
body | True | string |
Lijst met entiteiten |
Retouren
Een lijst met IP-adressen die zijn gekoppeld aan de waarschuwing
- Body
- BatchResponseIP
Entiteiten - URL's ophalen
Retourneert een lijst met URL's die zijn gekoppeld aan de waarschuwing
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Lijst met entiteiten
|
body | True | string |
Lijst met entiteiten |
Retouren
Een lijst met URL's die zijn gekoppeld aan de waarschuwing
- Body
- BatchResponseUrl
Ernst van incident wijzigen (afgeschaft) [AFGESCHAFT]
de ernst van het geselecteerde incident wordt gewijzigd
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
Ernst opgeven
|
severity | True | string |
Ernstwaarde |
Retouren
- response
- string
Incident bijwerken
Incident bijwerken met opgegeven velden
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Incidentvelden opgeven die moeten worden bijgewerkt
|
body | True | dynamic |
Incidentvelden die moeten worden bijgewerkt |
Retouren
Vertegenwoordigt een incident in Azure Security Insights.
- Body
- Incident
Incident maken
Incident maken met opgegeven velden
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Abonnement selecteren |
|
Resourcegroep
|
resourceGroup | True | string |
Resourcegroep selecteren |
|
Werkruimte naam
|
workspaceName | True | string |
Werkruimte selecteren |
|
Incidentvelden opgeven
|
body | True | dynamic |
Incidentvelden |
Retouren
Vertegenwoordigt een incident in Azure Security Insights.
- Body
- Incident
Incident ophalen
Een incident ophalen op ARM-id
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
ARM-id incident
|
incidentArmId | True | string |
ARM-id incident |
Retouren
Vertegenwoordigt een incident in Azure Security Insights.
- Body
- Incident
Incidentstatus wijzigen (afgeschaft) [AFGESCHAFT]
status van geselecteerd incident wijzigen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
Status opgeven
|
status | True | string |
Statuswaarde |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Dynamisch schema van wijziging van incidentstatus |
Retouren
- response
- string
Labels toevoegen aan incident (afgeschaft) [AFGESCHAFT]
Labels toevoegen aan geselecteerd incident
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
label
|
Label | True | string |
label |
Retouren
- response
- string
Labels verwijderen uit incident (afgeschaft) [AFGESCHAFT]
Labels verwijderen naar geselecteerd incident
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
label
|
Label | True | string |
label |
Retouren
- response
- string
Opmerking toevoegen aan incident (V2)
Opmerking toevoegen aan geselecteerd incident
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
Opmerking opgeven
|
Value | True | string |
Opmerkingswaarde |
Retouren
- response
- string
Opmerking toevoegen aan incident (V3)
Opmerking toevoegen aan geselecteerd incident
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
ARM-id incident
|
incidentArmId | True | string |
ARM-id incident |
|
Bericht over incidentcommentaar
|
message | True | html |
Bericht over incidentcommentaar |
Retouren
Vertegenwoordigt een item voor incidentcommentaar
- Opmerking bij incident
- IncidentComment
Opmerking toevoegen aan incident [AFGESCHAFT]
Deze actie is afgeschaft. Gebruik in plaats daarvan Opmerking toevoegen aan incident (V3 ).
Opmerking toevoegen aan geselecteerd incident
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
Incidentcommentaar opgeven
|
comment | True | string |
Opmerking bij incident |
Retouren
- response
- string
Taak toevoegen aan incident
Een taak toevoegen aan een bestaand incident
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
ARM-id incident
|
incidentArmId | True | string |
ARM-id incident |
|
Title
|
taskTitle | True | string |
Taaktitel |
|
Description
|
taskDescription | html |
Taakbeschrijving |
Retouren
Vertegenwoordigt een incidenttaakitem
- Incidenttaak
- IncidentTask
Titel van incident wijzigen (V2) (afgeschaft) [AFGESCHAFT]
titel van geselecteerd incident wijzigen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
Titel opgeven
|
Value | True | string |
Titelwaarde |
Retouren
- response
- string
Titel van incident wijzigen [AFGESCHAFT]
titel van geselecteerd incident wijzigen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Identificatie
|
identifier | True | string |
Incident/waarschuwing |
|
Waarschuwing/incident opgeven
|
id | True | string |
Geef het incidentnummer/waarschuwings-id op |
|
Titel opgeven
|
fieldValue | True | string |
Titelwaarde |
Retouren
- response
- string
Volglijsten - Alle volglijstitems voor een bepaalde watchlist ophalen
Volglijsten - Alle volglijstitems voor een bepaalde watchlist ophalen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Retouren
Geef alle volglijstitems weer.
- response
- WatchlistItemList
Volglijsten - Alle volglijstitems voor een bepaalde watchlist ophalen (V2)
Volglijsten - Alle volglijstitems voor een bepaalde watchlist ophalen (V2)
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
|
Token overslaan
|
skipToken | string |
Token overslaan voor de volgende set van 100 items die moeten worden geretourneerd |
Retouren
Geef alle volglijstitems weer.
- response
- WatchlistItemList
Volglijsten - Een bestaand volglijstitem bijwerken
Volglijsten - Een bestaand volglijstitem bijwerken
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
|
Item-id van volglijst opgeven
|
watchlistItemId | True | string |
Unieke id voor een watchlist-item (GUID) |
Retouren
Vertegenwoordigt een WatchlistItem in Azure Security Insights.
- Body
- WatchlistItem
Volglijsten - Een grote volglijst maken met behulp van een SAS-URI
Volglijsten - Een grote volglijst maken met behulp van een SAS-URI
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Retouren
Vertegenwoordigt een volglijst in Azure Security Insights.
- Body
- Watchlist
Volglijsten - Een grote volglijst maken met behulp van een SAS-URI (V2)
Volglijsten - Een grote volglijst maken met behulp van een SAS-URI (V2)
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Retouren
Vertegenwoordigt een volglijst in Azure Security Insights.
- Body
- WatchlistV2
Volglijsten - Een nieuw volglijstitem toevoegen
Volglijsten - Een nieuw volglijstitem toevoegen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Retouren
Vertegenwoordigt een WatchlistItem in Azure Security Insights.
- Body
- WatchlistItem
Volglijsten - Een nieuwe volglijst maken met gegevens (Onbewerkte inhoud)
Volglijsten - Een nieuwe volglijst maken met gegevens (Onbewerkte inhoud)
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Retouren
Vertegenwoordigt een volglijst in Azure Security Insights.
- Body
- Watchlist
Volglijsten - Een nieuwe volglijst maken met gegevens (Onbewerkte inhoud) (V2)
Volglijsten - Een nieuwe volglijst maken met gegevens (Onbewerkte inhoud) (V2)
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Retouren
Vertegenwoordigt een volglijst in Azure Security Insights.
- Body
- WatchlistV2
Volglijsten - Een volglijst verwijderen
Volglijsten - Een volglijst verwijderen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Retouren
- response
- string
Volglijsten - Een volglijst verwijderen (V2)
Hiermee verwijdert u een bepaalde volglijst op alias.
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Volglijsten - Een volglijstitem ophalen op id (guid)
Volglijsten - Een volglijstitem ophalen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
|
Item-id van volglijst opgeven
|
watchlistItemId | True | string |
Unieke id voor een watchlist-item (GUID) |
Retouren
Vertegenwoordigt een WatchlistItem in Azure Security Insights.
- Body
- WatchlistItem
Volglijsten - Een volglijstitem verwijderen
Volglijsten - Een volglijstitem verwijderen
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
|
Item-id van volglijst opgeven
|
watchlistItemId | True | string |
Unieke id voor een watchlist-item (GUID) |
Retouren
- response
- string
Volglijsten - Een volglijstitem verwijderen (V2)
Volglijsten - Een volglijstitem verwijderen (V2)
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
|
Item-id van volglijst opgeven
|
watchlistItemId | True | string |
Unieke id voor een watchlist-item (GUID) |
Retouren
- response
- string
Volglijsten - Een watchlist ophalen op alias
Volglijsten - Een watchlist ophalen op alias
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Watchlist-alias opgeven
|
watchlistAlias | True | string |
Watchlist-alias |
Retouren
Vertegenwoordigt een volglijst in Azure Security Insights.
- Body
- Watchlist
Waarschuwing - Incident ophalen
Retourneert het incident dat is gekoppeld aan de geselecteerde waarschuwing
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Waarschuwings-id opgeven
|
alertId | True | string |
Systeemwaarschuwings-id |
Retouren
Vertegenwoordigt een incident in Azure Security Insights.
- Body
- Incident
Waarschuwing - Incident ophalen
Retourneert het incident dat is gekoppeld aan de geselecteerde waarschuwing
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Abonnements-id opgeven
|
subscriptionId | True | string |
Abonnements-id |
|
Resourcegroep opgeven
|
resourceGroup | True | string |
Bronnengroep |
|
Werkruimte-id opgeven
|
workspaceId | True | string |
Werkruimte-id |
|
Waarschuwings-id opgeven
|
alertId | True | string |
Systeemwaarschuwings-id |
Retouren
- Body
- OldIncident
Waarschuwing toevoegen aan incident
Voeg een waarschuwing toe aan een bestaand incident. De waarschuwing voegt zich aan het incident toe als elke andere waarschuwing en wordt weergegeven in de portal.
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
ARM-id voor incidenten
|
incidentArmId | True | string |
ARM-id incident. Ophalen van incidenttrigger, waarschuwing - incidentactie of Azure Monitor-logboekquery ophalen. |
|
Systeemwaarschuwings-id
|
relatedResourceId | True | string |
Systeemwaarschuwings-id die wordt toegevoegd aan/verwijderd uit het incident. Ophalen uit azure Monitor-logboekquery of waarschuwingstrigger. Bijvoorbeeld: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Retouren
Vertegenwoordigt een incidentrelatie
- Body
- IncidentRelation
Waarschuwing verwijderen uit incident
Verwijder een waarschuwing uit een bestaand incident.
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
ARM-id voor incidenten
|
incidentArmId | True | string |
ARM-id incident. Ophalen van incidenttrigger, waarschuwing - incidentactie of Azure Monitor-logboekquery ophalen. |
|
Systeemwaarschuwings-id
|
relatedResourceId | True | string |
Systeemwaarschuwings-id die wordt toegevoegd aan/verwijderd uit het incident. Ophalen uit azure Monitor-logboekquery of waarschuwingstrigger. Bijvoorbeeld: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Retouren
- response
- string
Triggers
| Microsoft Sentinel-entiteit |
Playbook uitvoeren op Microsoft Sentinel-entiteit |
| Microsoft Sentinel-incident |
Wanneer een reactie op een Microsoft Sentinel-incident wordt geactiveerd. Dit playbook wordt geactiveerd door een automatiseringsregel wanneer een nieuw incident wordt gemaakt of bijgewerkt. Playbook ontvangt het Microsoft Sentinel-incident als invoer, inclusief waarschuwingen en entiteiten. |
| Microsoft Sentinel-waarschuwing |
Wanneer een reactie op een Microsoft Sentinel-waarschuwing wordt geactiveerd. Dit playbook wordt geactiveerd door een analyseregel wanneer een nieuwe waarschuwing wordt gemaakt of door handmatig te activeren. Playbook ontvangt de waarschuwing als invoer. |
| Wanneer een reactie op een Microsoft Sentinel-waarschuwing wordt geactiveerd [AFGESCHAFT] |
Wanneer een reactie op een Microsoft Sentinel-waarschuwing wordt geactiveerd. Dit playbook moet worden geactiveerd met Behulp van Microsoft Sentinel Real Time of vanuit Azure |
Microsoft Sentinel-entiteit
Playbook uitvoeren op Microsoft Sentinel-entiteit
Parameters
| Name | Sleutel | Vereist | Type | Description |
|---|---|---|---|---|
|
Entiteitstype
|
entityType | True | string |
Entiteitstype |
Retouren
Microsoft Sentinel-incident
Wanneer een reactie op een Microsoft Sentinel-incident wordt geactiveerd. Dit playbook wordt geactiveerd door een automatiseringsregel wanneer een nieuw incident wordt gemaakt of bijgewerkt. Playbook ontvangt het Microsoft Sentinel-incident als invoer, inclusief waarschuwingen en entiteiten.
Retouren
Microsoft Sentinel-waarschuwing
Wanneer een reactie op een Microsoft Sentinel-waarschuwing wordt geactiveerd. Dit playbook wordt geactiveerd door een analyseregel wanneer een nieuwe waarschuwing wordt gemaakt of door handmatig te activeren. Playbook ontvangt de waarschuwing als invoer.
Retouren
- Body
- Alert
Wanneer een reactie op een Microsoft Sentinel-waarschuwing wordt geactiveerd [AFGESCHAFT]
Wanneer een reactie op een Microsoft Sentinel-waarschuwing wordt geactiveerd. Dit playbook moet worden geactiveerd met Behulp van Microsoft Sentinel Real Time of vanuit Azure
Retouren
- Body
- Alert
Definities
UploadApiValidationErrors
Antwoord van Threat Intelligence Uplaod-API. Dit zijn fouten voor ongeldige objecten in de aanvraagbody.
| Name | Pad | Type | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
Reactie van Bedreigingsinformatie uplaod-indicatoren.
| Name | Pad | Type | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Een lijst met accounts die zijn gekoppeld aan de waarschuwing
| Name | Pad | Type | Description |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Een lijst met accounts die zijn gekoppeld aan de waarschuwing |
Account
| Name | Pad | Type | Description |
|---|---|---|---|
|
Naam
|
Name | string |
Accountnaam |
|
NT-domein
|
NTDomain | string |
NETBIOS-domeinnaam zoals deze wordt weergegeven in de waarschuwingsindeling |
|
DnsDomain
|
DnsDomain | string |
De volledig gekwalificeerde DNS-naam van het domein |
|
UPN-achtervoegsel
|
UPNSuffix | string |
Achtervoegsel user principal name |
|
SID
|
Sid | string |
Accountbeveiligings-id, bijvoorbeeld S-1-5-18 |
|
Tenant-id voor Microsoft Entra-id
|
AadTenantId | string |
Tenant-id van Microsoft Entra, indien bekend |
|
Microsoft Entra ID-gebruikers-id
|
AadUserId | string |
Gebruikers-id van Microsoft Entra, indien bekend |
|
PUID
|
PUID | string |
De Microsoft Entra ID Passport-gebruikers-id, indien bekend |
|
Is lid van een domein
|
IsDomainJoined | boolean |
Bepaalt of dit een domeinaccount is |
|
ObjectGuid
|
ObjectGuid | string |
Het kenmerk objectGUID is een kenmerk met één waarde dat de unieke id is voor het object, toegewezen door Microsoft Entra ID |
BatchResponseUrl
Een lijst met URL's die zijn gekoppeld aan de waarschuwing
| Name | Pad | Type | Description |
|---|---|---|---|
|
URL's
|
URLs | array of UrlEntity |
Een lijst met URL's die zijn gekoppeld aan de waarschuwing |
UrlEntity
| Name | Pad | Type | Description |
|---|---|---|---|
|
URL
|
Url | string |
BatchResponseHost
Een lijst met hosts die zijn gekoppeld aan de waarschuwing
| Name | Pad | Type | Description |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Een lijst met hosts die zijn gekoppeld aan de waarschuwing |
Host
| Name | Pad | Type | Description |
|---|---|---|---|
|
DNS-domein
|
DnsDomain | string |
DNS-domein waartoe deze host behoort |
|
NT-domein
|
NTDomain | string |
NT-domein waartoe deze host behoort |
|
Hostname
|
HostName | string |
Hostnaam zonder het domeinachtervoegsel |
|
NetBiosName
|
NetBiosName | string |
De hostnaam (pre-windows2000) |
|
OMSAgentID
|
OMSAgentID | string |
De OMS-agent-id, als op de host OMS-agent is geïnstalleerd |
|
OSFamily
|
OSFamily | string |
Een van de volgende waarden: Linux, Windows, Android, IOS |
|
Versie van het besturingssysteem
|
OSVersion | string |
Een vrije tekstweergave van het besturingssysteem |
|
Is lid van een domein
|
IsDomainJoined | boolean |
Bepaalt of deze host deel uitmaakt van een domein |
|
AzureID
|
AzureID | string |
De Azure-resource-id van de VM, indien bekend |
BatchResponseIP
Een lijst met IP-adressen die zijn gekoppeld aan de waarschuwing
| Name | Pad | Type | Description |
|---|---|---|---|
|
Ips
|
IPs | array of IP |
Een lijst met IP-adressen die zijn gekoppeld aan de waarschuwing |
IP
| Name | Pad | Type | Description |
|---|---|---|---|
|
Adres
|
Address | string |
IP address |
BatchResponseDNS
Een lijst met DNS-domeinen die zijn gekoppeld aan de waarschuwing
| Name | Pad | Type | Description |
|---|---|---|---|
|
DNS-domeinen
|
Dnsresolutions | array of DNS |
Een lijst met DNS-domeinen die zijn gekoppeld aan de waarschuwing |
DNS
| Name | Pad | Type | Description |
|---|---|---|---|
|
Domeinnaam
|
DomainName | string |
De naam van de DNS-record die is gekoppeld aan de waarschuwing |
BatchResponseFileHash
Een lijst met bestands-hashes die zijn gekoppeld aan de waarschuwing
| Name | Pad | Type | Description |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
Een lijst met bestands-hashes die zijn gekoppeld aan de waarschuwing |
FileHash
| Name | Pad | Type | Description |
|---|---|---|---|
|
Waarde
|
Value | string |
Hash-waarde van bestand |
|
Algorithm
|
Algorithm | string |
De typen hash-algoritme van het bestand |
OldIncident
| Name | Pad | Type | Description |
|---|---|---|---|
|
properties
|
properties | OldIncidentProperties |
OldIncidentProperties
| Name | Pad | Type | Description |
|---|---|---|---|
|
Toestand
|
Status | string |
De status van het incident |
|
Labels
|
Labels | array of |
De labels van het incident |
|
Title
|
Title | string |
De titel van het incident |
|
Description
|
Description | string |
De beschrijving van het incident |
|
Eindtijd utc
|
EndTimeUtc | string |
Het tijdstip waarop het incident is beëindigd |
|
Begintijd utc
|
StartTimeUtc | string |
De begintijd van het incident |
|
Laatst bijgewerkt tijdstip utc
|
LastUpdatedTimeUtc | string |
De updatetijd van het incident |
|
Number
|
CaseNumber | string |
Het aantal incidenten |
|
Tijd gemaakt utc
|
CreatedTimeUtc | string |
Het tijdstip waarop het incident is gemaakt |
|
Severity
|
Severity | string |
De ernst van het incident |
|
Verwante waarschuwings-id's
|
RelatedAlertIds | array of |
De gerelateerde waarschuwings-id's van het incident |
IncidentAdditionalData
Incident aanvullende gegevenseigenschapsverzameling.
| Name | Pad | Type | Description |
|---|---|---|---|
|
Aantal incidentwaarschuwingen
|
alertsCount | integer |
Het aantal waarschuwingen in het incident |
|
Aantal incidentbladwijzers
|
bookmarksCount | integer |
Het aantal bladwijzers in het incident |
|
Aantal incidentopmerkingen
|
commentsCount | integer |
Het aantal opmerkingen in het incident |
|
Productnamen van incidentwaarschuwingen
|
alertProductNames | array of string |
Lijst met productnamen van waarschuwingen in het incident |
|
Url van providerincident
|
providerIncidentUrl | string |
De URL naar het incident in de Microsoft Defender-portal |
|
Samengevoegd incidentnummer
|
mergedIncidentNumber | string |
Het incidentnummer van het incident waarmee het huidige incident is samengevoegd |
|
Url van samengevoegd incident
|
mergedIncidentUrl | string |
De URL naar het incident waaraan het huidige incident is samengevoegd |
|
Incidenttactieken
|
tactics | array of AttackTactic |
De tactieken die zijn gekoppeld aan incident |
|
Incidenttechnieken
|
techniques | array of string |
De technieken die verband houden met de tactieken van incidenten' |
IncidentLabel
Vertegenwoordigt een incidenttag
| Name | Pad | Type | Description |
|---|---|---|---|
|
Naam
|
labelName | string |
De naam van de tag |
|
Typologie
|
labelType | string |
Het type tag |
IncidentOwnerInfo
Informatie over de gebruiker waaraan een incident is toegewezen
| Name | Pad | Type | Description |
|---|---|---|---|
|
E-mailen
|
string |
Het e-mailadres van de gebruiker waaraan het incident is toegewezen. |
|
|
Assigned To
|
assignedTo | string |
De naam van de gebruiker waaraan het incident is toegewezen. (assignedTo field) |
|
ObjectId
|
objectId | uuid |
De object-id van de gebruiker waaraan het incident is toegewezen. |
|
Hoofdgebruikersnaam
|
userPrincipalName | string |
De principal-naam van de gebruiker waaraan het incident is toegewezen. |
AttackTactic
Vertegenwoordigt een tactiekitem dat is gekoppeld aan het incident
Vertegenwoordigt een tactiekitem dat is gekoppeld aan het incident
AlertSeverity
HuntingBookmark
Vertegenwoordigt een opsporingsbladwijzeritem
| Name | Pad | Type | Description |
|---|---|---|---|
|
ARM-id
|
id | string |
De volledige gekwalificeerde ARM-id van de bladwijzer. |
|
ARM-naam
|
name | string |
De ARM-naam van de bladwijzer (GUID) |
|
properties
|
properties | HuntingBookmarkProperties |
Vertegenwoordigt de JSON-eigenschappen van HuntingBookmark. |
Beveiligingswaarschuwing
Vertegenwoordigt een beveiligingswaarschuwingsitem
| Name | Pad | Type | Description |
|---|---|---|---|
|
ARM-id
|
id | string |
De volledige gekwalificeerde ARM-id van de waarschuwing. |
|
ARM-naam
|
name | string |
De ARM-naam van de waarschuwing (GUID) |
|
properties
|
properties | SecurityAlertProperties |
Vertegenwoordigt JSON voor waarschuwingseigenschappen. |
HuntingBookmarkProperties
Vertegenwoordigt de JSON-eigenschappen van HuntingBookmark.
| Name | Pad | Type | Description |
|---|---|---|---|
|
Weergavenaam
|
displayName | string |
De weergavenaam van de bladwijzer |
|
Gecreëerd
|
created | date-time |
De gemaakte tijd van de bladwijzer |
|
Updated
|
updated | date-time |
De bijgewerkte tijd van de bladwijzer |
|
Gemaakt door gebruikersgegevens
|
createdBy | CreatedByUserInfo |
Vertegenwoordigt eigenschappen van UserInfo JSON. |
|
Bijgewerkt door gebruikersgegevens
|
updatedBy | UpdatedByUserInfo |
Vertegenwoordigt eigenschappen van UserInfo JSON. |
|
Gebeurtenistijd
|
eventTime | date-time |
De gebeurtenistijd van de bladwijzer |
|
Opmerkingen
|
notes | string |
De notities van de bladwijzer |
|
Labels
|
labels | array of string |
De labels van de bladwijzer |
|
Query
|
query | string |
De query van de bladwijzer |
|
Queryresultaat
|
queryResult | string |
Het queryresultaat van de bladwijzer |
SecurityAlertProperties
Vertegenwoordigt JSON voor waarschuwingseigenschappen.
| Name | Pad | Type | Description |
|---|---|---|---|
|
Vriendelijke naam
|
friendlyName | string |
De weergavenaam van het grafiekitem, een kort leesbare beschrijving van het exemplaar van het grafiekitem. Deze eigenschap is optioneel en kan door het systeem worden gegenereerd. |
|
Weergavenaam
|
alertDisplayName | string |
De weergavenaam van de waarschuwing |
|
Typologie
|
alertType | string |
In de planningswaarschuwing is dit de id van de analyseregel. |
|
URI
|
alertLink | string |
Dit is de koppeling naar de waarschuwing in de orignal vendor. |
|
Gecompromitteerde entiteit
|
compromisedEntity | string |
Weergavenaam van de hoofdentiteit waarop wordt gerapporteerd. |
|
Betrouwbaarheidsniveau
|
confidenceLevel | string |
Het betrouwbaarheidsniveau van deze waarschuwing. |
|
Description
|
description | string |
De beschrijving van de waarschuwing. |
|
Eindtijd UTC
|
endTimeUtc | date-time |
De eindtijd van de waarschuwing (de tijd van de laatste gebeurtenis die bijdraagt aan de waarschuwing). |
|
Aanbieder-ID
|
providerAlertId | string |
De id van de waarschuwing in het product dat de waarschuwing heeft gegenereerd. |
|
Productnaam
|
productName | string |
De naam van het product dat deze waarschuwing heeft gepubliceerd. |
|
Stappen voor herbewerking
|
remediationSteps | array of string |
Lijst met handmatige actie-items die moeten worden uitgevoerd om de waarschuwing te herstellen. |
|
Severity
|
severity | AlertSeverity |
De ernst van de waarschuwing |
|
Begintijd
|
startTimeUtc | date-time |
De begintijd van de impact van de waarschuwing (de tijd van de eerste gebeurtenis die bijdraagt aan de waarschuwing). |
|
Toestand
|
status | string |
De levenscyclusstatus van de waarschuwing. |
|
Systeem-id
|
systemAlertId | string |
Bevat de product-id van de waarschuwing voor het product. |
|
Tactics
|
tactics | array of AttackTactic |
Lijst met de waarschuwingstactieken. |
|
Gegenereerde tijd
|
timeGenerated | date-time |
De tijd waarop de waarschuwing is gegenereerd. |
|
Query
|
additionalData.Query | string |
De query die wordt gebruikt om te bepalen of de waarschuwing moet worden geactiveerd (alleen waarschuwing plannen). |
|
Begintijd van query
|
additionalData.Query Start Time UTC | string |
De begintijd van de query die wordt gebruikt om te bepalen of de waarschuwing moet worden geactiveerd (alleen waarschuwing plannen). |
|
Eindtijd van query
|
additionalData.Query End Time UTC | string |
De begintijd van de query die wordt gebruikt om te bepalen of de waarschuwing moet worden geactiveerd (alleen waarschuwing plannen). |
|
Queryoperator
|
additionalData.Trigger Operator | string |
De operator die wordt gebruikt om te bepalen of de waarschuwing moet worden geactiveerd (alleen waarschuwing plannen). |
|
Querydrempel
|
additionalData.Trigger Threshold | string |
De drempelwaarde die wordt gebruikt om te bepalen of de waarschuwing moet worden geactiveerd (alleen waarschuwing plannen). |
|
Aangepaste details
|
additionalData.Custom Details | string |
Aangepaste gebeurtenisdetails die zijn toegevoegd aan de waarschuwing door de analyseregels (alleen geplande waarschuwingen). Als u dit veld wilt gebruiken, volgt u de actie JSON parseren en gebruikt u een voorbeeldpayload van een bestaande waarschuwing om het schema te simuleren. |
|
Resource-id's
|
resourceIdentifiers | array of object |
De resource-id's van de waarschuwing |
|
items
|
resourceIdentifiers | object |
Vertegenwoordigt een waarschuwingsresource-id. |
Incident
Vertegenwoordigt een incident in Azure Security Insights.
| Name | Pad | Type | Description |
|---|---|---|---|
|
ARM-id voor incident
|
id | string |
De volledige gekwalificeerde ARM-id van het incident. |
|
ARM-naam voor incident
|
name | string |
De ARM-naam van het incident (GUID) |
|
properties
|
properties | IncidentProperties |
Vertegenwoordigt de JSON voor incidenteigenschappen. |
FullIncident
Een incident ophalen op ARM-id
| Name | Pad | Type | Description |
|---|---|---|---|
|
ARM-id voor incident
|
id | string |
De volledige gekwalificeerde ARM-id van het incident. |
|
ARM-naam voor incident
|
name | string |
De ARM-naam van het incident (GUID) |
|
properties
|
properties | FullIncidentProperties |
Vertegenwoordigt de JSON voor incidenteigenschappen. |
IncidentProperties
Vertegenwoordigt de JSON voor incidenteigenschappen.
| Name | Pad | Type | Description |
|---|---|---|---|
|
aanvullende gegevens
|
additionalData | IncidentAdditionalData |
Incident aanvullende gegevenseigenschapsverzameling. |
|
Incidentclassificatie
|
classification | string |
De reden waarom het incident is gesloten |
|
Opmerking bij incidentclassificatie
|
classificationComment | string |
Beschrijft de reden waarom het incident is gesloten |
|
Reden voor incidentclassificatie
|
classificationReason | string |
De classificatiereden voor het incident is gesloten met |
|
Tijdstip waarop het incident is gemaakt utc
|
createdTimeUtc | date-time |
Het tijdstip waarop het incident is gemaakt |
|
Beschrijving van incident
|
description | string |
De beschrijving van het incident |
|
Incident First Activity Time UTC
|
firstActivityTimeUtc | date-time |
De tijd van de eerste activiteit in het incident |
|
Incident-URL
|
incidentUrl | string |
De URL van de dieptekoppeling naar het incident in Azure Portal |
|
Incident-id van provider
|
providerIncidentId | string |
De incident-id die is toegewezen door de incidentprovider |
|
Incident Sentinel-id
|
incidentNumber | integer |
Een volgnummer dat wordt gebruikt om het incident in Microsoft Sentinel te identificeren. |
|
Tijd van laatste activiteit van incident UTC
|
lastActivityTimeUtc | date-time |
De tijd van de laatste activiteit in het incident |
|
Ernst van incident
|
severity | string |
De ernst van het incident |
|
Incidentstatus
|
status | string |
De status van het incident |
|
Titel van incident
|
title | string |
De titel van het incident |
|
Incidenttags
|
labels | array of IncidentLabel |
Lijst met tags die zijn gekoppeld aan dit incident |
|
Tijdstip van laatste wijziging van incident UTC
|
lastModifiedTimeUtc | date-time |
De laatste keer dat het incident is bijgewerkt |
|
Eigenaar van incident
|
owner | IncidentOwnerInfo |
Informatie over de gebruiker waaraan een incident is toegewezen |
|
Incidentgerelateerde analyseregel-id's
|
relatedAnalyticRuleIds | array of string |
Lijst met resource-id's van analyseregels met betrekking tot het incident |
|
Comments
|
Comments | array of IncidentComment |
Lijst met opmerkingen over dit incident. |
FullIncidentProperties
Vertegenwoordigt de JSON voor incidenteigenschappen.
| Name | Pad | Type | Description |
|---|---|---|---|
|
aanvullende gegevens
|
additionalData | IncidentAdditionalData |
Incident aanvullende gegevenseigenschapsverzameling. |
|
Incidentclassificatie
|
classification | string |
De reden waarom het incident is gesloten |
|
Opmerking bij incidentclassificatie
|
classificationComment | string |
Beschrijft de reden waarom het incident is gesloten |
|
Reden voor incidentclassificatie
|
classificationReason | string |
De classificatiereden voor het incident is gesloten met |
|
Tijdstip waarop het incident is gemaakt utc
|
createdTimeUtc | date-time |
Het tijdstip waarop het incident is gemaakt |
|
Beschrijving van incident
|
description | string |
De beschrijving van het incident |
|
Incident First Activity Time UTC
|
firstActivityTimeUtc | date-time |
De tijd van de eerste activiteit in het incident |
|
Incident-URL
|
incidentUrl | string |
De URL van de dieptekoppeling naar het incident in Azure Portal |
|
Incident-id van provider
|
providerIncidentId | string |
De incident-id die is toegewezen door de incidentprovider |
|
Incident Sentinel-id
|
incidentNumber | integer |
Een volgnummer dat wordt gebruikt om het incident in Microsoft Sentinel te identificeren. |
|
Tijd van laatste activiteit van incident UTC
|
lastActivityTimeUtc | date-time |
De tijd van de laatste activiteit in het incident |
|
Ernst van incident
|
severity | string |
De ernst van het incident |
|
Incidentstatus
|
status | string |
De status van het incident |
|
Titel van incident
|
title | string |
De titel van het incident |
|
Incidenttags
|
labels | array of IncidentLabel |
Lijst met tags die zijn gekoppeld aan dit incident |
|
Tijdstip van laatste wijziging van incident UTC
|
lastModifiedTimeUtc | date-time |
De laatste keer dat het incident is bijgewerkt |
|
Eigenaar van incident
|
owner | IncidentOwnerInfo |
Informatie over de gebruiker waaraan een incident is toegewezen |
|
Incidentgerelateerde analyseregel-id's
|
relatedAnalyticRuleIds | array of string |
Lijst met resource-id's van analyseregels met betrekking tot het incident |
|
Comments
|
Comments | array of IncidentComment |
Lijst met opmerkingen over dit incident. |
|
Waarschuwingen
|
Alerts | array of SecurityAlert |
Lijst met waarschuwingen met betrekking tot dit incident. |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
Lijst met bladwijzers met betrekking tot dit incident. |
|
Entiteiten
|
relatedEntities | string |
Lijst met entiteiten die zijn gerelateerd aan het incident, kan entiteiten van verschillende typen bevatten |
IncidentEventNotification
| Name | Pad | Type | Description |
|---|---|---|---|
|
Bijgewerkte veldnamen
|
incidentUpdates.updatedFields | array of string |
De namen van de velden die in het incident zijn bijgewerkt |
|
Tijd bijwerken
|
incidentUpdates.updatedTime | date-time |
De tijd van de gebeurtenis voor het bijwerken van incidenten |
|
Bron
|
incidentUpdates.updatedBy.source | string |
De actor die het incident heeft bijgewerkt: Gebruiker, Externe toepassing, Playbook, Automation-regel, Microsoft 365 Defender of Waarschuwingsgroepering |
|
Naam
|
incidentUpdates.updatedBy.name | string |
De naam van de gebruiker, toepassing, automatiseringsregel of playbook waarmee het incident is bijgewerkt |
|
Incidentwaarschuwingen
|
incidentUpdates.alerts | array of SecurityAlert |
Lijst met waarschuwingen die aan dit incident zijn toegevoegd. |
|
Incidenttags
|
incidentUpdates.labels | array of IncidentLabel |
Lijst met tags die aan dit incident zijn toegevoegd |
|
Opmerkingen over incidenten
|
incidentUpdates.comments | array of IncidentComment |
Lijst met opmerkingen die aan dit incident zijn toegevoegd. |
|
Incidenttactieken
|
incidentUpdates.tactics | array of AttackTactic |
De tactieken die zijn gekoppeld aan incident |
|
Abonnements-id
|
workspaceInfo.SubscriptionId | string |
De abonnements-id van de Microsoft Sentinel-werkruimte |
|
Naam van resourcegroep
|
workspaceInfo.ResourceGroupName | string |
De resourcegroep van de Microsoft Sentinel-werkruimte |
|
Werkruimte naam
|
workspaceInfo.WorkspaceName | string |
De naam van de Microsoft Sentinel-werkruimte |
|
Werkruimte-id
|
workspaceId | string |
De werkruimte-id van het incident. |
|
Voorwerp
|
object | FullIncident |
Een incident ophalen op ARM-id |
CreatedByUserInfo
Vertegenwoordigt eigenschappen van UserInfo JSON.
Vertegenwoordigt eigenschappen van UserInfo JSON.
UpdatedByUserInfo
Vertegenwoordigt eigenschappen van UserInfo JSON.
Vertegenwoordigt eigenschappen van UserInfo JSON.
Alert
| Name | Pad | Type | Description |
|---|---|---|---|
|
Productnaam
|
ProductName | string |
Naam van het product dat deze waarschuwing heeft gepubliceerd |
|
Waarschuwingstype
|
AlertType | string |
Typ de naam van de waarschuwing |
|
Begintijd (UTC)
|
StartTimeUtc | date-time |
Begintijd van de waarschuwing, toen de eerste bijdragegebeurtenis werd gedetecteerd |
|
Eindtijd (UTC)
|
EndTimeUtc | date-time |
Eindtijd van de waarschuwing, toen de laatste bijdragegebeurtenis werd gedetecteerd |
|
Gegenereerde tijd (UTC)
|
TimeGenerated | date-time |
De tijd waarop de waarschuwing is gegenereerd |
|
Severity
|
Severity | string |
De ernst van de waarschuwing zoals deze door de provider wordt gerapporteerd |
|
Waarschuwings-id van provider
|
ProviderAlertId | string |
Unieke id voor het specifieke waarschuwingsexemplaren dat is ingesteld door de provider |
|
Systeemwaarschuwings-id
|
SystemAlertId | string |
Unieke id voor het specifieke waarschuwingsexemplaren |
|
Weergavenaam van waarschuwing
|
AlertDisplayName | string |
Weergavenaam van de waarschuwing |
|
Description
|
Description | string |
Waarschuwingsbeschrijving |
|
Entiteiten
|
Entities | string |
Een lijst met entiteiten die zijn gerelateerd aan de waarschuwing, kan meerdere entiteitstypen bevatten |
|
Uitgebreide eigenschappen
|
ExtendedProperties | string |
Een lijst met velden die aan de gebruiker worden gepresenteerd |
|
Werkruimte-id
|
WorkspaceId | string |
De id van de werkruimte van de waarschuwing |
|
Bronnengroep
|
WorkspaceResourceGroup | string |
resourcegroep waarschuwing van de waarschuwing |
|
Abonnements-id
|
WorkspaceSubscriptionId | string |
De id van het abonnement van de waarschuwing |
|
Uitgebreide koppelingen
|
ExtendedLinks | array of object |
Een lijst met koppelingen met betrekking tot de waarschuwing kan meerdere typen bevatten |
Incidentcomment
Vertegenwoordigt een item voor incidentcommentaar
| Name | Pad | Type | Description |
|---|---|---|---|
|
ID-kaart
|
id | string |
De volledige gekwalificeerde ARM-id van de opmerking. |
|
Naam
|
name | string |
De ARM-naam van de opmerking (GUID) |
|
properties
|
properties | IncidentCommentProperties |
Vertegenwoordigt eigenschappen van incidentcommentaar JSON. |
IncidentComerties
Vertegenwoordigt eigenschappen van incidentcommentaar JSON.
Vertegenwoordigt eigenschappen van incidentcommentaar JSON.
IncidentTask
Vertegenwoordigt een incidenttaakitem
| Name | Pad | Type | Description |
|---|---|---|---|
|
ID-kaart
|
id | string |
De volledige gekwalificeerde ARM-id van de taak. |
|
Naam
|
name | string |
De ARM-naam van de taak |
|
properties
|
properties | IncidentTaskProperties |
Vertegenwoordigt eigenschappen van incidenttaken. |
IncidentTaskProperties
IncidentRelation
Vertegenwoordigt een incidentrelatie
| Name | Pad | Type | Description |
|---|---|---|---|
|
ID-kaart
|
id | string |
De volledig gekwalificeerde ARM-id van de incidentrelatie. |
|
Naam
|
name | string |
De ARM-naam van de incidentrelatie |
|
properties
|
properties | IncidentRelationProperties |
Vertegenwoordigt een JSON-eigenschappen voor incidentrelatie. |
IncidentRelationProperties
Vertegenwoordigt een JSON-eigenschappen voor incidentrelatie.
Vertegenwoordigt een JSON-eigenschappen voor incidentrelatie.
Watchlist
Vertegenwoordigt een volglijst in Azure Security Insights.
| Name | Pad | Type | Description |
|---|---|---|---|
|
properties
|
properties | WatchlistProperties |
Beschrijft eigenschappen van volglijsten |
WatchlistV2
Vertegenwoordigt een volglijst in Azure Security Insights.
| Name | Pad | Type | Description |
|---|---|---|---|
|
properties
|
properties | WatchlistPropertiesV2 |
Beschrijft eigenschappen van volglijsten |
WatchlistProperties
Beschrijft eigenschappen van volglijsten
| Name | Pad | Type | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
De id (een GUID) van de volglijst |
|
displayName
|
displayName | string |
De weergavenaam van de volglijst |
|
provider
|
provider | string |
De provider van de volglijst |
|
source
|
source | string |
De bron van de volglijst |
|
geschapen
|
created | date-time |
De tijd waarop de volglijst is gemaakt |
|
Bijgewerkt
|
updated | date-time |
De laatste keer dat de volglijst is bijgewerkt |
|
gemaakt door
|
createdBy | UserInfo |
Gebruikersgegevens die actie hebben ondernomen |
|
bijgewerktDoor
|
updatedBy | UserInfo |
Gebruikersgegevens die actie hebben ondernomen |
|
beschrijving
|
description | string |
Een beschrijving van de volglijst |
|
watchlistType
|
watchlistType | string |
Het type watchlist |
|
watchlistAlias
|
watchlistAlias | string |
De alias van de volglijst |
|
isDeleted
|
isDeleted | boolean |
Een vlag die aangeeft of de volglijst is verwijderd of niet |
|
labels
|
labels | array of Label |
Lijst met labels die relevant zijn voor deze volglijst |
|
defaultDuration
|
defaultDuration | duration |
De standaardduur van een volglijst (in ISO 8601-duurnotatie) |
|
tenantId
|
tenantId | string |
De tenantId waartoe de volglijst behoort |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Het aantal regels in een CSV/tsv-inhoud dat moet worden overgeslagen vóór de header |
|
rawContent
|
rawContent | string |
De onbewerkte inhoud die aangeeft dat items in de watchlist moeten worden gemaakt. In het geval van csv-/tsv-inhoudstype is het de inhoud van het bestand dat wordt geparseerd door het eindpunt |
|
itemsSearchKey
|
itemsSearchKey | string |
De zoeksleutel wordt gebruikt om de queryprestaties te optimaliseren bij het gebruik van volglijsten voor joins met andere gegevens. U kunt bijvoorbeeld een kolom met IP-adressen inschakelen als het aangewezen veld SearchKey en dit veld vervolgens gebruiken als sleutelveld bij het toevoegen aan andere gebeurtenisgegevens per IP-adres. |
|
inhoudstype
|
contentType | string |
Het inhoudstype van de onbewerkte inhoud. Voorbeeld: tekst/csv of tekst/tsv |
|
uploadStatus
|
uploadStatus | string |
De status van het uploaden van de volglijst: Nieuw, InProgress of Voltooid. Pls opmerking: wanneer de uploadstatus van een Watchlist gelijk is aan InProgress, kan de Volglijst niet worden verwijderd |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
Het aantal volglijstitems in de volglijst |
WatchlistPropertiesV2
Beschrijft eigenschappen van volglijsten
| Name | Pad | Type | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
De id (een GUID) van de volglijst |
|
displayName
|
displayName | string |
De weergavenaam van de volglijst |
|
provider
|
provider | string |
De provider van de volglijst |
|
source
|
source | string |
De bestandsnaam van de volglijst, genaamd 'source' |
|
sourceType
|
sourceType | string |
Het sourceType van de volglijst |
|
geschapen
|
created | date-time |
De tijd waarop de volglijst is gemaakt |
|
Bijgewerkt
|
updated | date-time |
De laatste keer dat de volglijst is bijgewerkt |
|
gemaakt door
|
createdBy | UserInfo |
Gebruikersgegevens die actie hebben ondernomen |
|
bijgewerktDoor
|
updatedBy | UserInfo |
Gebruikersgegevens die actie hebben ondernomen |
|
beschrijving
|
description | string |
Een beschrijving van de volglijst |
|
watchlistType
|
watchlistType | string |
Het type watchlist |
|
watchlistAlias
|
watchlistAlias | string |
De alias van de volglijst |
|
isDeleted
|
isDeleted | boolean |
Een vlag die aangeeft of de volglijst is verwijderd of niet |
|
labels
|
labels | array of Label |
Lijst met labels die relevant zijn voor deze volglijst |
|
defaultDuration
|
defaultDuration | duration |
De standaardduur van een volglijst (in ISO 8601-duurnotatie) |
|
tenantId
|
tenantId | string |
De tenantId waartoe de volglijst behoort |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Het aantal regels in een CSV/tsv-inhoud dat moet worden overgeslagen vóór de header |
|
rawContent
|
rawContent | string |
De onbewerkte inhoud die aangeeft dat items in de watchlist moeten worden gemaakt. In het geval van csv-/tsv-inhoudstype is het de inhoud van het bestand dat wordt geparseerd door het eindpunt |
|
itemsSearchKey
|
itemsSearchKey | string |
De zoeksleutel wordt gebruikt om de queryprestaties te optimaliseren bij het gebruik van volglijsten voor joins met andere gegevens. U kunt bijvoorbeeld een kolom met IP-adressen inschakelen als het aangewezen veld SearchKey en dit veld vervolgens gebruiken als sleutelveld bij het toevoegen aan andere gebeurtenisgegevens per IP-adres. |
|
inhoudstype
|
contentType | string |
Het inhoudstype van de onbewerkte inhoud. Voorbeeld: tekst/csv of tekst/tsv |
|
uploadStatus
|
uploadStatus | string |
De status van het uploaden van de volglijst: Nieuw, InProgress of Voltooid. Pls opmerking: wanneer de uploadstatus van een Watchlist gelijk is aan InProgress, kan de Volglijst niet worden verwijderd |
WatchlistItemList
WatchlistItem
Vertegenwoordigt een WatchlistItem in Azure Security Insights.
| Name | Pad | Type | Description |
|---|---|---|---|
|
WatchlistItem Full ARM ID
|
id | string |
De volledig gekwalificeerde id van het volglijstitem. |
|
Unieke id watchlistItem
|
name | string |
Komt overeen met watchlistItem-id (GUID) |
|
WatchlistItem etag
|
etag | string |
Komt overeen met etag (GUID) |
|
Type WatchlistItem
|
type | string |
Komt overeen met het type WatchlistItem |
|
waarde
|
value | object |
Details van volglijstitementiteit. |
Bookmark
Vertegenwoordigt een bladwijzer in Azure Security Insights.
| Name | Pad | Type | Description |
|---|---|---|---|
|
properties
|
properties | BookmarkProperties |
Beschrijft bladwijzereigenschappen |
Bladwijzerlijst
Geef alle bladwijzers weer.
| Name | Pad | Type | Description |
|---|---|---|---|
|
nextLink
|
nextLink | string |
URL om de volgende reeks aanvragen op te halen. |
|
waarde
|
value | array of Bookmark |
Matrix met bladwijzers. |
BookmarkProperties
Beschrijft bladwijzereigenschappen
| Name | Pad | Type | Description |
|---|---|---|---|
|
geschapen
|
created | date-time |
Het tijdstip waarop de bladwijzer is gemaakt |
|
gemaakt door
|
createdBy | UserInfo |
Gebruikersgegevens die actie hebben ondernomen |
|
displayName
|
displayName | string |
De weergavenaam van de bladwijzer |
|
labels
|
labels | array of Label |
Lijst met labels die relevant zijn voor deze bladwijzer |
|
Notities
|
notes | string |
De notities van de bladwijzer |
|
query
|
query | string |
De query van de bladwijzer. |
|
queryResult
|
queryResult | string |
Het queryresultaat van de bladwijzer. |
|
Bijgewerkt
|
updated | date-time |
De laatste keer dat de bladwijzer is bijgewerkt |
|
bijgewerktDoor
|
updatedBy | UserInfo |
Gebruikersgegevens die actie hebben ondernomen |
|
evenementtijd
|
eventTime | date-time |
De gebeurtenistijd van de bladwijzer |
|
queryStartTime
|
queryStartTime | date-time |
De begintijd voor de query |
|
queryEndTime
|
queryEndTime | date-time |
De eindtijd voor de query |
|
incidentInfo
|
incidentInfo | Incident |
Vertegenwoordigt een incident in Azure Security Insights. |
Gebruikersinfo
Gebruikersgegevens die actie hebben ondernomen
| Name | Pad | Type | Description |
|---|---|---|---|
|
e-mailadres
|
string |
Het e-mailadres van de gebruiker. |
|
|
naam
|
name | string |
De naam van de gebruiker. |
|
objectId
|
objectId | uuid |
De object-id van de gebruiker. |
Etiket
Label dat wordt gebruikt om te taggen en te filteren.
Label dat wordt gebruikt om te taggen en te filteren.
touw
Dit is het basisgegevenstype 'tekenreeks'.