Incidents - Get

Service:: Sentinel

API-versie:: 2025-09-01

Krijgt een bepaald incident.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2025-09-01

URI-parameters

Name	In	Vereist	Type	Description
incidentId	path	True	string	Incident-ID
resourceGroupName	path	True	string minLength: 1 maxLength: 90	De naam van de resourcegroep. De naam is hoofdletterongevoelig.
subscriptionId	path	True	string (uuid)	De id van het doelabonnement. De waarde moet een UUID zijn.
workspaceName	path	True	string minLength: 1 maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$	De naam van de werkruimte.
api-version	query	True	string minLength: 1	De API-versie die voor deze bewerking moet worden gebruikt.

Antwoorden

Name	Type	Description
200 OK	Incident	OK, bewerking succesvol voltooid
Other Status Codes	CloudError	Foutreactie waarin wordt beschreven waarom de bewerking is mislukt.

Beveiliging

azure_auth

Azure Active Directory OAuth2-stroom

Type: oauth2
Stroom: implicit
Autorisatie-URL: https://login.microsoftonline.com/common/oauth2/authorize

Bereiken

Name	Description
user_impersonation	Uw gebruikersaccount imiteren

Voorbeelden

Get an incident.

Voorbeeldaanvraag

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-09-01

Voorbeeldrespons

Statuscode:: 200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "InaccurateData",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [
      "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
    ],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": [
        "InitialAccess",
        "Persistence"
      ]
    }
  }
}

Definities

Name	Description
AttackTactic	De ernst van waarschuwingen die door deze waarschuwingsregel worden gemaakt.
CloudError	Structuur voor foutrespons.
CloudErrorBody	Foutdetails.
createdByType	Het type identiteit waarmee de resource is gemaakt.
Incident	Vertegenwoordigt een incident in Azure Security Insights.
IncidentAdditionalData	Incident aanvullende gegevens eigenschap zak.
IncidentClassification	De reden waarom het incident is gesloten
IncidentClassificationReason	De classificatiereden voor het incident is gesloten met
IncidentLabel	Vertegenwoordigt een incidentlabel
IncidentLabelType	Het type etiket
IncidentOwnerInfo	Informatie over de gebruiker waaraan een incident is toegewezen
IncidentSeverity	De ernst van het incident
IncidentStatus	De status van het incident
OwnerType	Het type eigenaar waaraan het incident is toegewezen.
systemData	Metagegevens met betrekking tot het maken en de laatste wijziging van de resource.

AttackTactic

Inventarisatie

De ernst van waarschuwingen die door deze waarschuwingsregel worden gemaakt.

Waarde	Description
Reconnaissance
ResourceDevelopment
InitialAccess
Execution
Persistence
PrivilegeEscalation
DefenseEvasion
CredentialAccess
Discovery
LateralMovement
Collection
Exfiltration
CommandAndControl
Impact
PreAttack
ImpairProcessControl
InhibitResponseFunction

CloudError

Object

Structuur voor foutrespons.

Name	Type	Description
error	CloudErrorBody	Foutgegevens

CloudErrorBody

Object

Foutdetails.

Name	Type	Description
code	string	Een id voor de fout. Codes zijn invariant en zijn bedoeld om programmatisch te worden gebruikt.
message	string	Een bericht met een beschrijving van de fout, bedoeld om te worden weergegeven in een gebruikersinterface.

createdByType

Inventarisatie

Het type identiteit waarmee de resource is gemaakt.

Waarde	Description
User
Application
ManagedIdentity
Key

Incident

Object

Vertegenwoordigt een incident in Azure Security Insights.

Name	Type	Description
etag	string	Etag van de Azure-resource
id	string (arm-id)	Volledig gekwalificeerde resource-id voor de resource. Bijvoorbeeld /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceType}/{resourceName}"
name	string	De naam van de resource
properties.additionalData	IncidentAdditionalData	Aanvullende gegevens over het incident
properties.classification	IncidentClassification	De reden waarom het incident is gesloten
properties.classificationComment	string	Beschrijft de reden waarom het incident is gesloten
properties.classificationReason	IncidentClassificationReason	De classificatiereden voor het incident is gesloten met
properties.createdTimeUtc	string (date-time)	Het tijdstip waarop het incident is aangemaakt
properties.description	string	De beschrijving van het incident
properties.firstActivityTimeUtc	string (date-time)	De tijd van de eerste activiteit in het incident
properties.incidentNumber	integer (int32)	Een volgnummer
properties.incidentUrl	string	De deeplink-URL naar het incident in Azure Portal
properties.labels	IncidentLabel[]	Lijst met labels die relevant zijn voor dit incident
properties.lastActivityTimeUtc	string (date-time)	De tijd van de laatste activiteit in het incident
properties.lastModifiedTimeUtc	string (date-time)	De laatste keer dat het incident is bijgewerkt
properties.owner	IncidentOwnerInfo	Beschrijft een gebruiker waaraan het incident is toegewezen
properties.providerIncidentId	string	De incident-id die is toegewezen door de incidentprovider
properties.providerName	string	De naam van de bronprovider die het incident heeft gegenereerd
properties.relatedAnalyticRuleIds	string[] (arm-id)	Lijst met resource-id's van analytische regels met betrekking tot het incident
properties.severity	IncidentSeverity	De ernst van het incident
properties.status	IncidentStatus	De status van het incident
properties.title	string	De titel van het incident
systemData	systemData	Azure Resource Manager-metagegevens met createdBy- en modifiedBy-gegevens.
type	string	Het type bron. Bijvoorbeeld 'Microsoft.Compute/virtualMachines' of 'Microsoft.Storage/storageAccounts'

IncidentAdditionalData

Object

Incident aanvullende gegevens eigenschap zak.

Name	Type	Description
alertProductNames	string[]	Lijst met productnamen van waarschuwingen in het incident
alertsCount	integer (int32)	Het aantal waarschuwingen in het incident
bookmarksCount	integer (int32)	Het aantal bladwijzers in het incident
commentsCount	integer (int32)	Het aantal opmerkingen bij het incident
providerIncidentUrl	string	De URL van het providerincident naar het incident in de Microsoft 365 Defender-portal
tactics	AttackTactic[]	De tactieken in verband met het incident

IncidentClassification

Inventarisatie

De reden waarom het incident is gesloten

Waarde	Description
Undetermined	Incidentclassificatie was onbepaald
TruePositive	Incident was echt positief
BenignPositive	Incident was goedaardig positief
FalsePositive	Incident was vals-positief

IncidentClassificationReason

Inventarisatie

De classificatiereden voor het incident is gesloten met

Waarde	Description
SuspiciousActivity	De reden van de classificatie was verdachte activiteit
SuspiciousButExpected	Classificatie reden was verdacht maar verwacht
IncorrectAlertLogic	De reden van de classificatie was onjuiste waarschuwingslogica
InaccurateData	De reden voor classificatie was onnauwkeurige gegevens

IncidentLabel

Object

Vertegenwoordigt een incidentlabel

Name	Type	Description
labelName	string	De naam van het label
labelType	IncidentLabelType	Het type etiket

IncidentLabelType

Inventarisatie

Het type etiket

Waarde	Description
User	Label handmatig gemaakt door een gebruiker
AutoAssigned	Label automatisch aangemaakt door het systeem

IncidentOwnerInfo

Object

Informatie over de gebruiker waaraan een incident is toegewezen

Name	Type	Description
assignedTo	string	De naam van de gebruiker waaraan het incident is toegewezen.
email	string	Het e-mailadres van de gebruiker waaraan het incident is toegewezen.
objectId	string (uuid)	De object-id van de gebruiker waaraan het incident is toegewezen.
ownerType	OwnerType	Het type eigenaar waaraan het incident is toegewezen.
userPrincipalName	string	De principal-naam van de gebruiker waaraan het incident is toegewezen.

IncidentSeverity

Inventarisatie

De ernst van het incident

Waarde	Description
High	Hoge ernst
Medium	Gemiddelde ernst
Low	Lage ernst
Informational	Informatieve ernst

IncidentStatus

Inventarisatie

De status van het incident

Waarde	Description
New	Een actief incident dat momenteel niet wordt afgehandeld
Active	Een actief incident dat wordt afgehandeld
Closed	Een niet-actief incident

OwnerType

Inventarisatie

Het type eigenaar waaraan het incident is toegewezen.

Waarde	Description
Unknown	Het type eigenaar van het incident is onbekend
User	Het type eigenaar van het incident is een AAD-gebruiker
Group	Het type eigenaar van het incident is een AAD-groep

systemData

Object

Metagegevens met betrekking tot het maken en de laatste wijziging van de resource.

Name	Type	Description
createdAt	string (date-time)	De tijdstempel van het maken van resources (UTC).
createdBy	string	De identiteit waarmee de resource is gemaakt.
createdByType	createdByType	Het type identiteit waarmee de resource is gemaakt.
lastModifiedAt	string (date-time)	De tijdstempel van de laatste wijziging van de resource (UTC)
lastModifiedBy	string	De identiteit die de resource voor het laatst heeft gewijzigd.
lastModifiedByType	createdByType	Het type identiteit dat de resource voor het laatst heeft gewijzigd.

Delen via

Incidents - Get

URI-parameters

Antwoorden

Beveiliging

azure_auth

Bereiken

Voorbeelden

Get an incident.

Voorbeeldaanvraag

Voorbeeldrespons

Definities

AttackTactic

CloudError

CloudErrorBody

createdByType

Incident

IncidentAdditionalData

IncidentClassification

IncidentClassificationReason

IncidentLabel

IncidentLabelType

IncidentOwnerInfo

IncidentSeverity

IncidentStatus

OwnerType

systemData