Microsoft Sentinel (wersja zapoznawcza)
Natywny dla chmury rozwiązanie SIEM z wbudowaną sztuczną inteligencją, dzięki czemu można skupić się na tym, co ma największe znaczenie
Ten łącznik jest dostępny w następujących produktach i regionach:
| Usługa | Class | Regions |
|---|---|---|
| Logic Apps | Standard | Wszystkie regiony usługi Logic Apps |
| Kontakt | |
|---|---|
| Name | Microsoft |
| adres URL |
Obsługa usługi Microsoft LogicApps |
| Metadane łącznika | |
|---|---|
| Publisher | Microsoft |
| Witryna internetowa | https://azure.microsoft.com/services/azure-sentinel/ |
Łącznik usługi Microsoft Sentinel
Szczegółowe informacje o łączniku
Dowiedz się więcej o sposobie korzystania z tego łącznika:
- Uwierzytelnianie podręczników w usłudze Azure Sentinel
- Używanie wyzwalaczy i akcji w podręcznikach
- Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel
Authentication
Wyzwalacze i akcje w łączniku mcirosoft Sentinel mogą działać w imieniu dowolnej tożsamości, która ma niezbędne uprawnienia (odczyt i/lub zapis) w odpowiednim obszarze roboczym. Łącznik obsługuje wiele typów tożsamości:
- Tożsamość zarządzana (wersja zapoznawcza)
- Użytkownik identyfikatora entra firmy Microsoft
- Jednostka usługi (aplikacja Microsoft Entra ID)
Wymagane uprawnienia
| Role/ składniki łącznika | Triggers | Akcje "Pobierz" | Aktualizacja incydentu dodawanie komentarza |
|---|---|---|---|
| Czytelnik usługi Microsoft Sentinel | ✓ | ✓ | ✗ |
| Microsoft Sentinel Udzielający odpowiedzi/Współautor | ✓ | ✓ | ✓ |
Dowiedz się więcej o uprawnieniach w usłudze Microsoft Sentinel.
Dowiedz się, jak używać różnych opcji uwierzytelniania.
Znane problemy i ograniczenia
Nie można wyzwolić aplikacji logiki wywoływanej przez wyzwalacz usługi Microsoft Sentinel przy użyciu przycisku "Uruchom wyzwalacz"
Użytkownik nie może użyć przycisku Uruchom wyzwalacza w bloku Przegląd usługi Logic Apps w celu wyzwolenia podręcznika usługi Microsoft Sentinel.
Usługa Azure Logic Apps jest wyzwalana przez wywołanie REST POST, którego treść jest danymi wejściowymi wyzwalacza. Usługa Logic Apps rozpoczynająca się od wyzwalaczy usługi Microsoft Sentinel oczekuje wyświetlenia zawartości alertu lub zdarzenia usługi Microsoft Sentinel w treści wywołania. Gdy wywołanie pochodzi z bloku Przegląd usługi Logic Apps, treść wywołania jest pusta i w związku z tym jest generowany błąd.
Są to jedyne odpowiednie sposoby wyzwalania podręczników usługi Microsoft Sentinel:
- Wyzwalacz ręczny w usłudze Microsoft Sentinel
- Automatyczna odpowiedź reguły analizy (bezpośrednio lub za pomocą reguły automatyzacji) w usłudze Microsoft Sentinel
- Użyj przycisku "Prześlij ponownie" w istniejącym bloku uruchamiania usługi Logic Apps
- Bezpośrednie wywoływanie punktu końcowego usługi Logic Apps (dołączanie alertu/zdarzenia jako treści)
Aktualizowanie tego samego zdarzenia równolegle dla każdej pętli
Dla każdej pętli można domyślnie uruchamiać równolegle, ale można ją łatwo ustawić tak, aby uruchamiała się sekwencyjnie. Jeśli pętla dla każdej pętli może zaktualizować to samo zdarzenie usługi Microsoft Sentinel w oddzielnych iteracji, należy ją skonfigurować pod kątem sekwencyjnie.
Przywracanie oryginalnego zapytania alertu nie jest obecnie obsługiwane za pośrednictwem usługi Logic Apps
Użycie łącznika dzienników usługi Azure Monitor w celu pobrania zdarzeń przechwyconych przez zaplanowaną regułę analizy alertów nie jest spójnie niezawodne.
- Dzienniki usługi Azure Monitor nie obsługują definicji niestandardowego zakresu czasu. Przywrócenie dokładnie tych samych wyników zapytania wymaga zdefiniowania dokładnie tego samego zakresu czasu co w oryginalnym zapytaniu.
- Alerty mogą być opóźnione w wyświetlaniu w obszarze roboczym usługi Log Analytics po wyzwoleniu podręcznika przez regułę.
Dostępne zasoby
Dokumentacja usługi Microsoft Sentinel
- Automatyzacja z wyprzedzeniem dzięki podręcznikom
- Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel
- Uwierzytelnianie scenariuszy w Microsoft Sentinel
- Używanie wyzwalaczy i akcji w podręcznikach
Dokumentacja usługi Microsoft Sentinel
- Galeria szablonów usługi GitHub usługi Microsoft Sentinel
- Dokumentacja interfejsu API usługi Microsoft Sentinel
Aplikacje logiki Azure
Tworzenie połączenia
Łącznik obsługuje następujące typy uwierzytelniania:
| Wartość domyślna | Parametry tworzenia połączenia. | Wszystkie regiony | Nie można udostępniać |
Domyślny
Dotyczy: wszystkie regiony
Parametry tworzenia połączenia.
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
Limity ograniczania
| Nazwa | Wywołania | Okres odnowienia |
|---|---|---|
| Wywołania interfejsu API na połączenie | 600 | 60 sekund |
Akcje
| Aktualizowanie zdarzenia |
Aktualizowanie zdarzenia z podanymi polami |
| Alert — pobierz incydent |
Zwraca zdarzenie skojarzone z wybranym alertem |
| Alert — pobierz incydent |
Zwraca zdarzenie skojarzone z wybranym alertem |
| Analiza zagrożeń — przekazywanie obiektów STIX (wersja zapoznawcza) |
Zbiorcze przekazywanie obiektów STIX przy użyciu interfejsu API przekazywania analizy zagrożeń. |
| Analiza zagrożeń — wskaźniki przekazywania kompromisu (wersja 2) (wersja zapoznawcza) |
Zbiorcze przekazywanie wskaźników przy użyciu interfejsu API wskaźników przekazywania analizy zagrożeń. |
| Analiza zagrożeń — wskaźniki przekazywania naruszenia (przestarzałe) |
Analiza zagrożeń — wskaźniki przekazywania kompromisu |
| Dodawanie alertu do zdarzenia |
Dodaj alert do istniejącego zdarzenia. Alert dołącza do zdarzenia jako każdy inny alert i będzie wyświetlany w portalu. |
| Dodawanie etykiet do zdarzenia (przestarzałe) [PRZESTARZAŁE] |
Dodaje etykiety do wybranego incydentu |
| Dodawanie komentarza do zdarzenia (wersja 2) |
Dodaje komentarz do wybranego incydentu |
| Dodawanie komentarza do zdarzenia (wersja 3) |
Dodaje komentarz do wybranego incydentu |
| Dodawanie komentarza do zdarzenia [PRZESTARZAŁE] |
Ta akcja została przestarzała. Zamiast tego użyj polecenia Dodaj komentarz do zdarzenia (V3).
|
| Dodawanie zadania do zdarzenia |
Dodaje zadanie do istniejącego zdarzenia |
| Jednostki — pobierz adresy IP |
Zwraca listę adresów IP skojarzonych z alertem |
| Jednostki — pobierz adresy URL |
Zwraca listę adresów URL skojarzonych z alertem |
| Jednostki — pobierz hosty |
Zwraca listę hostów skojarzonych z alertem |
| Jednostki — pobierz konta |
Zwraca listę kont skojarzonych z alertem |
| Jednostki — pobierz skróty plików |
Zwraca listę skrótów plików skojarzonych z alertem |
| Jednostki — uzyskiwanie usługi DNS |
Zwraca listę rekordów DNS skojarzonych z alertem |
| Listy do obejrzenia — pobieranie wszystkich elementów listy obserwowanych dla danej listy obserwowanych |
Listy do obejrzenia — pobieranie wszystkich elementów listy obserwowanych dla danej listy obserwowanych |
| Listy do obejrzenia — pobieranie wszystkich elementów listy obserwowanych dla danej listy obserwowanych (wersja 2) |
Listy do obejrzenia — pobieranie wszystkich elementów listy obserwowanych dla danej listy obserwowanych (wersja 2) |
| Listy do obejrzenia — usuwanie listy obserwowanych (wersja 2) |
Usuwa daną listę obserwowanych według aliasu. |
| Listy obserwowanych — aktualizowanie istniejącego elementu listy obserwowanych |
Listy obserwowanych — aktualizowanie istniejącego elementu listy obserwowanych |
| Listy obserwowanych — dodawanie nowego elementu listy obserwowanych |
Listy obserwowanych — dodawanie nowego elementu listy obserwowanych |
| Listy obserwowanych — pobieranie elementu listy obserwowanych według identyfikatora (guid) |
Listy obserwowanych — pobieranie elementu listy obserwowanych |
| Listy obserwowanych — tworzenie dużej listy obserwowanych przy użyciu identyfikatora URI sygnatury dostępu współdzielonego |
Listy obserwowanych — tworzenie dużej listy obserwowanych przy użyciu identyfikatora URI sygnatury dostępu współdzielonego |
| Listy obserwowanych — tworzenie dużej listy obserwowanych przy użyciu identyfikatora URI sygnatury dostępu współdzielonego (V2) |
Listy obserwowanych — tworzenie dużej listy obserwowanych przy użyciu identyfikatora URI sygnatury dostępu współdzielonego (V2) |
| Listy obserwowanych — tworzenie nowej listy obserwowanych z danymi (nieprzetworzona zawartość) |
Listy obserwowanych — tworzenie nowej listy obserwowanych z danymi (nieprzetworzona zawartość) |
| Listy obserwowanych — tworzenie nowej listy obserwowanych z danymi (nieprzetworzona zawartość) (wersja 2) |
Listy obserwowanych — tworzenie nowej listy obserwowanych z danymi (nieprzetworzona zawartość) (wersja 2) |
| Listy obserwowanych — usuwanie elementu listy obserwowanych |
Listy obserwowanych — usuwanie elementu listy obserwowanych |
| Listy obserwowanych — usuwanie elementu listy obserwowanych (wersja 2) |
Listy obserwowanych — usuwanie elementu listy obserwowanych (wersja 2) |
| Listy obserwowanych — usuwanie listy obserwowanych |
Listy obserwowanych — usuwanie listy obserwowanych |
| Listy obserwowanych — uzyskiwanie listy obserwowanych według aliasu |
Listy obserwowanych — uzyskiwanie listy obserwowanych według aliasu |
| Oznaczanie zadania jako ukończonego |
Oznaczanie zadania jako ukończonego |
| Tworzenie zdarzenia |
Tworzenie zdarzenia z podanymi polami |
| Usuwanie alertu ze zdarzenia |
Usuń alert z istniejącego zdarzenia. |
| Usuwanie etykiet ze zdarzenia (przestarzałe) [PRZESTARZAŁE] |
Usuwa etykiety do wybranego zdarzenia |
| Uzyskiwanie zdarzenia |
Pobieranie zdarzenia według identyfikatora usługi ARM |
| Wyzwalacz ASI anuluj subskrypcję [PRZESTARZAŁE] |
Anulowanie subskrypcji |
| Zakładki (wersja 2) — tworzenie nowej zakładki (dane wejściowe json) (wersja zapoznawcza) |
Zakładki (wersja 2) — utwórz prawidłową nową zakładkę (json). |
| Zakładki (wersja 3) — tworzy nową zakładkę z oddzielnymi polami (wersja zapoznawcza) |
Zakładki (V3) — tworzenie nowej zakładki. |
| Zakładki — pobieranie wszystkich zakładek |
Zakładki — pobieranie wszystkich zakładek dla danego obszaru roboczego |
| Zakładki — pobieranie zakładki |
Zakładki — pobieranie zakładek według identyfikatora |
| Zakładki — tworzy nową zakładkę (wersja zapoznawcza) |
Zakładki — tworzy nową zakładkę. |
| Zakładki — usuwanie zakładki |
Zakładki — usuwanie zakładki |
| Zmień opis zdarzenia (wersja 2) (przestarzałe) [PRZESTARZAŁE] |
zmienia opis wybranego zdarzenia |
| Zmień opis zdarzenia [PRZESTARZAŁE] |
zmienia opis wybranego zdarzenia |
| Zmień stan zdarzenia (przestarzałe) [PRZESTARZAŁE] |
zmienia stan wybranego zdarzenia |
| Zmień tytuł zdarzenia (wersja 2) (przestarzałe) [PRZESTARZAŁE] |
zmienia tytuł wybranego zdarzenia |
| Zmień tytuł zdarzenia [PRZESTARZAŁE] |
zmienia tytuł wybranego zdarzenia |
| Zmień ważność zdarzenia (przestarzałe) [PRZESTARZAŁE] |
zmienia ważność wybranego zdarzenia |
Aktualizowanie zdarzenia
Aktualizowanie zdarzenia z podanymi polami
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie pól zdarzeń do zaktualizowania
|
body | True | dynamic |
Pola zdarzeń do zaktualizowania |
Zwraca
Reprezentuje zdarzenie w usłudze Azure Security Insights.
- Body
- Incident
Alert — pobierz incydent
Zwraca zdarzenie skojarzone z wybranym alertem
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie identyfikatora alertu
|
alertId | True | string |
Identyfikator alertu systemu |
Zwraca
Reprezentuje zdarzenie w usłudze Azure Security Insights.
- Body
- Incident
Alert — pobierz incydent
Zwraca zdarzenie skojarzone z wybranym alertem
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie identyfikatora alertu
|
alertId | True | string |
Identyfikator alertu systemu |
Zwraca
- Body
- OldIncident
Analiza zagrożeń — przekazywanie obiektów STIX (wersja zapoznawcza)
Zbiorcze przekazywanie obiektów STIX przy użyciu interfejsu API przekazywania analizy zagrożeń.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
Zwraca
Odpowiedź z interfejsu API uplaod analizy zagrożeń. Są to błędy dotyczące nieprawidłowych obiektów w treści żądania.
- Przedmioty
- UploadApiValidationErrors
Analiza zagrożeń — wskaźniki przekazywania kompromisu (wersja 2) (wersja zapoznawcza)
Zbiorcze przekazywanie wskaźników przy użyciu interfejsu API wskaźników przekazywania analizy zagrożeń.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
Zwraca
Odpowiedź z interfejsu API uplaod analizy zagrożeń. Są to błędy dotyczące nieprawidłowych obiektów w treści żądania.
- Przedmioty
- UploadApiValidationErrors
Analiza zagrożeń — wskaźniki przekazywania naruszenia (przestarzałe)
Analiza zagrożeń — wskaźniki przekazywania kompromisu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
Zwraca
Odpowiedź ze wskaźników uplaod analizy zagrożeń.
- Przedmioty
- IndicatorValidationErrors
Dodawanie alertu do zdarzenia
Dodaj alert do istniejącego zdarzenia. Alert dołącza do zdarzenia jako każdy inny alert i będzie wyświetlany w portalu.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator zdarzenia usługi ARM
|
incidentArmId | True | string |
Identyfikator zdarzenia arm. Pobieranie z wyzwalacza zdarzenia, alertu — uzyskiwanie akcji zdarzenia lub zapytania dzienników usługi Azure Monitor. |
|
Identyfikator alertu systemu
|
relatedResourceId | True | string |
Identyfikator alertu systemu, który zostanie dodany/ usunięty z zdarzenia. Pobieranie z zapytania dzienników usługi Azure Monitor lub wyzwalacza alertu. Na przykład: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Zwraca
Reprezentuje relację incydentu
- Body
- IncidentRelation
Dodawanie etykiet do zdarzenia (przestarzałe) [PRZESTARZAŁE]
Dodaje etykiety do wybranego incydentu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
etykieta
|
Label | True | string |
etykieta |
Zwraca
- response
- string
Dodawanie komentarza do zdarzenia (wersja 2)
Dodaje komentarz do wybranego incydentu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
Określanie komentarza
|
Value | True | string |
Wartość komentarza |
Zwraca
- response
- string
Dodawanie komentarza do zdarzenia (wersja 3)
Dodaje komentarz do wybranego incydentu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator zdarzenia usługi ARM
|
incidentArmId | True | string |
Identyfikator zdarzenia usługi ARM |
|
Komunikat o komentarzu o zdarzeniu
|
message | True | html |
Komunikat o komentarzu o zdarzeniu |
Zwraca
Reprezentuje element komentarza zdarzenia
- Komentarz o zdarzeniu
- IncidentComment
Dodawanie komentarza do zdarzenia [PRZESTARZAŁE]
Ta akcja została przestarzała. Zamiast tego użyj polecenia Dodaj komentarz do zdarzenia (V3).
Dodaje komentarz do wybranego incydentu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
Określanie komentarza zdarzenia
|
comment | True | string |
Komentarz o zdarzeniu |
Zwraca
- response
- string
Dodawanie zadania do zdarzenia
Dodaje zadanie do istniejącego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator zdarzenia usługi ARM
|
incidentArmId | True | string |
Identyfikator zdarzenia usługi ARM |
|
Title
|
taskTitle | True | string |
Tytuł zadania |
|
Description
|
taskDescription | html |
Opis zadania |
Zwraca
Reprezentuje element zadania zdarzenia
- Zadanie zdarzenia
- IncidentTask
Jednostki — pobierz adresy IP
Zwraca listę adresów IP skojarzonych z alertem
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Lista jednostek
|
body | True | string |
Lista jednostek |
Zwraca
Lista adresów IP skojarzonych z alertem
- Body
- BatchResponseIP
Jednostki — pobierz adresy URL
Zwraca listę adresów URL skojarzonych z alertem
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Lista jednostek
|
body | True | string |
Lista jednostek |
Zwraca
Lista adresów URL skojarzonych z alertem
- Body
- BatchResponseUrl
Jednostki — pobierz hosty
Zwraca listę hostów skojarzonych z alertem
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Lista jednostek
|
body | True | string |
Lista jednostek |
Zwraca
Lista hostów skojarzonych z alertem
- Body
- BatchResponseHost
Jednostki — pobierz konta
Zwraca listę kont skojarzonych z alertem
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Lista jednostek
|
body | True | string |
Lista jednostek |
Zwraca
Lista kont skojarzonych z alertem
- Body
- BatchResponseAccount
Jednostki — pobierz skróty plików
Zwraca listę skrótów plików skojarzonych z alertem
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Lista jednostek
|
body | True | string |
Lista jednostek |
Zwraca
Lista skrótów plików skojarzonych z alertem
Jednostki — uzyskiwanie usługi DNS
Zwraca listę rekordów DNS skojarzonych z alertem
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Lista jednostek
|
body | True | string |
Lista jednostek |
Zwraca
Lista domen DNS skojarzonych z alertem
- Body
- BatchResponseDNS
Listy do obejrzenia — pobieranie wszystkich elementów listy obserwowanych dla danej listy obserwowanych
Listy do obejrzenia — pobieranie wszystkich elementów listy obserwowanych dla danej listy obserwowanych
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Zwraca
Wyświetl listę wszystkich elementów listy obserwowanych.
- response
- WatchlistItemList
Listy do obejrzenia — pobieranie wszystkich elementów listy obserwowanych dla danej listy obserwowanych (wersja 2)
Listy do obejrzenia — pobieranie wszystkich elementów listy obserwowanych dla danej listy obserwowanych (wersja 2)
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
|
Pomiń token
|
skipToken | string |
Pomiń token dla następnego zestawu 100 elementów, aby zwrócić |
Zwraca
Wyświetl listę wszystkich elementów listy obserwowanych.
- response
- WatchlistItemList
Listy do obejrzenia — usuwanie listy obserwowanych (wersja 2)
Usuwa daną listę obserwowanych według aliasu.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Listy obserwowanych — aktualizowanie istniejącego elementu listy obserwowanych
Listy obserwowanych — aktualizowanie istniejącego elementu listy obserwowanych
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
|
Określanie identyfikatora elementu listy kontrolnej
|
watchlistItemId | True | string |
Unikatowy identyfikator elementu listy obserwowanych (GUID) |
Zwraca
Reprezentuje element WatchlistItem w usłudze Azure Security Insights.
- Body
- WatchlistItem
Listy obserwowanych — dodawanie nowego elementu listy obserwowanych
Listy obserwowanych — dodawanie nowego elementu listy obserwowanych
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Zwraca
Reprezentuje element WatchlistItem w usłudze Azure Security Insights.
- Body
- WatchlistItem
Listy obserwowanych — pobieranie elementu listy obserwowanych według identyfikatora (guid)
Listy obserwowanych — pobieranie elementu listy obserwowanych
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
|
Określanie identyfikatora elementu listy kontrolnej
|
watchlistItemId | True | string |
Unikatowy identyfikator elementu listy obserwowanych (GUID) |
Zwraca
Reprezentuje element WatchlistItem w usłudze Azure Security Insights.
- Body
- WatchlistItem
Listy obserwowanych — tworzenie dużej listy obserwowanych przy użyciu identyfikatora URI sygnatury dostępu współdzielonego
Listy obserwowanych — tworzenie dużej listy obserwowanych przy użyciu identyfikatora URI sygnatury dostępu współdzielonego
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Zwraca
Reprezentuje listę obserwowanych w usłudze Azure Security Insights.
- Body
- Watchlist
Listy obserwowanych — tworzenie dużej listy obserwowanych przy użyciu identyfikatora URI sygnatury dostępu współdzielonego (V2)
Listy obserwowanych — tworzenie dużej listy obserwowanych przy użyciu identyfikatora URI sygnatury dostępu współdzielonego (V2)
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Zwraca
Reprezentuje listę obserwowanych w usłudze Azure Security Insights.
- Body
- WatchlistV2
Listy obserwowanych — tworzenie nowej listy obserwowanych z danymi (nieprzetworzona zawartość)
Listy obserwowanych — tworzenie nowej listy obserwowanych z danymi (nieprzetworzona zawartość)
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Zwraca
Reprezentuje listę obserwowanych w usłudze Azure Security Insights.
- Body
- Watchlist
Listy obserwowanych — tworzenie nowej listy obserwowanych z danymi (nieprzetworzona zawartość) (wersja 2)
Listy obserwowanych — tworzenie nowej listy obserwowanych z danymi (nieprzetworzona zawartość) (wersja 2)
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Zwraca
Reprezentuje listę obserwowanych w usłudze Azure Security Insights.
- Body
- WatchlistV2
Listy obserwowanych — usuwanie elementu listy obserwowanych
Listy obserwowanych — usuwanie elementu listy obserwowanych
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
|
Określanie identyfikatora elementu listy kontrolnej
|
watchlistItemId | True | string |
Unikatowy identyfikator elementu listy obserwowanych (GUID) |
Zwraca
- response
- string
Listy obserwowanych — usuwanie elementu listy obserwowanych (wersja 2)
Listy obserwowanych — usuwanie elementu listy obserwowanych (wersja 2)
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
|
Określanie identyfikatora elementu listy kontrolnej
|
watchlistItemId | True | string |
Unikatowy identyfikator elementu listy obserwowanych (GUID) |
Zwraca
- response
- string
Listy obserwowanych — usuwanie listy obserwowanych
Listy obserwowanych — usuwanie listy obserwowanych
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Zwraca
- response
- string
Listy obserwowanych — uzyskiwanie listy obserwowanych według aliasu
Listy obserwowanych — uzyskiwanie listy obserwowanych według aliasu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie aliasu listy obserwowanych
|
watchlistAlias | True | string |
Alias listy obserwowanych |
Zwraca
Reprezentuje listę obserwowanych w usłudze Azure Security Insights.
- Body
- Watchlist
Oznaczanie zadania jako ukończonego
Oznaczanie zadania jako ukończonego
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator arm zadania
|
taskArmId | True | string |
Identyfikator arm zadania |
Zwraca
Reprezentuje element zadania zdarzenia
- Zadanie zdarzenia
- IncidentTask
Tworzenie zdarzenia
Tworzenie zdarzenia z podanymi polami
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Wybieranie subskrypcji |
|
Grupa zasobów
|
resourceGroup | True | string |
Wybierz grupę zasobów |
|
Nazwa obszaru roboczego
|
workspaceName | True | string |
Wybieranie obszaru roboczego |
|
Określanie pól zdarzeń
|
body | True | dynamic |
Pola zdarzeń |
Zwraca
Reprezentuje zdarzenie w usłudze Azure Security Insights.
- Body
- Incident
Usuwanie alertu ze zdarzenia
Usuń alert z istniejącego zdarzenia.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator zdarzenia usługi ARM
|
incidentArmId | True | string |
Identyfikator zdarzenia arm. Pobieranie z wyzwalacza zdarzenia, alertu — uzyskiwanie akcji zdarzenia lub zapytania dzienników usługi Azure Monitor. |
|
Identyfikator alertu systemu
|
relatedResourceId | True | string |
Identyfikator alertu systemu, który zostanie dodany/ usunięty z zdarzenia. Pobieranie z zapytania dzienników usługi Azure Monitor lub wyzwalacza alertu. Na przykład: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Zwraca
- response
- string
Usuwanie etykiet ze zdarzenia (przestarzałe) [PRZESTARZAŁE]
Usuwa etykiety do wybranego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
etykieta
|
Label | True | string |
etykieta |
Zwraca
- response
- string
Uzyskiwanie zdarzenia
Pobieranie zdarzenia według identyfikatora usługi ARM
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator zdarzenia usługi ARM
|
incidentArmId | True | string |
Identyfikator zdarzenia usługi ARM |
Zwraca
Reprezentuje zdarzenie w usłudze Azure Security Insights.
- Body
- Incident
Wyzwalacz ASI anuluj subskrypcję [PRZESTARZAŁE]
Zakładki (wersja 2) — tworzenie nowej zakładki (dane wejściowe json) (wersja zapoznawcza)
Zakładki (wersja 2) — utwórz prawidłową nową zakładkę (json).
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Nazwa wyświetlana zakładki
|
displayName | True | string |
Nazwa wyświetlana zakładki |
|
Zapytanie zakładki
|
bookmarkQuery | True | string |
Zapytanie zakładki (np. "SecurityEvent | where TimeGenerated > ago(1d) and TimeGenerated < ago(2d)') |
|
Wynik zapytania zakładki
|
bookmarkQueryResult | True | string |
Wynik zapytania zakładki (np. "Wynik zapytania zdarzenia zabezpieczeń") |
|
Uwagi dotyczące zakładek
|
bookmarkNotes | string |
Notatki zakładki (np. "Moje notatki zakładki") |
Zwraca
Reprezentuje zakładkę w usłudze Azure Security Insights.
- Body
- Bookmark
Zakładki (wersja 3) — tworzy nową zakładkę z oddzielnymi polami (wersja zapoznawcza)
Zakładki (V3) — tworzenie nowej zakładki.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie nazwy wyświetlanej zakładki
|
bookmarkName | True | string |
Nazwa wyświetlana zakładki (np. "Moja zakładka") |
|
Określanie zapytania zakładki
|
bookmarkQuery | True | string |
Zapytanie zakładki (np. "SecurityEvent | where TimeGenerated > ago(1d) and TimeGenerated < ago(2d)') |
|
Określanie wyniku zapytania zakładki
|
bookmarkQueryResult | True | string |
Wynik zapytania zakładki (np. "Wynik zapytania zdarzenia zabezpieczeń") |
|
Określanie notatek zakładki
|
bookmarkNotes | True | string |
Notatki zakładki (np. "Moje notatki zakładki") |
Zwraca
Reprezentuje zakładkę w usłudze Azure Security Insights.
- Body
- Bookmark
Zakładki — pobieranie wszystkich zakładek
Zakładki — pobieranie wszystkich zakładek dla danego obszaru roboczego
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie liczby zakładek
|
numberOfBookmarks | True | integer |
Liczba zakładek do zwrócenia. 0 lub ujemne, aby zwrócić wszystkie zakładki |
Zwraca
Wyświetl listę wszystkich zakładek.
- Body
- BookmarkList
Zakładki — pobieranie zakładki
Zakładki — pobieranie zakładek według identyfikatora
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie identyfikatora zakładki
|
bookmarkId | True | string |
Identyfikator zakładki |
Zwraca
Reprezentuje zakładkę w usłudze Azure Security Insights.
- Body
- Bookmark
Zakładki — tworzy nową zakładkę (wersja zapoznawcza)
Zakładki — tworzy nową zakładkę.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie identyfikatora zakładki
|
bookmarkId | True | string |
Identyfikator zakładki |
|
utworzone
|
created | date-time |
Godzina utworzenia zakładki |
|
|
e-mail
|
string |
Adres e-mail użytkownika. |
||
|
nazwa
|
name | string |
Nazwa użytkownika. |
|
|
objectId
|
objectId | uuid |
Identyfikator obiektu użytkownika. |
|
|
nazwa wyświetlana
|
displayName | True | string |
Nazwa wyświetlana zakładki |
|
labels
|
labels | string |
Etykieta, która będzie używana do tagowania i filtrowania. |
|
|
Notatki
|
notes | string |
Uwagi dotyczące zakładki |
|
|
kwerenda
|
query | True | string |
Zapytanie zakładki. |
|
queryResult
|
queryResult | string |
Wynik zapytania zakładki. |
|
|
aktualizowano
|
updated | date-time |
Godzina ostatniej aktualizacji zakładki |
|
|
czas wydarzenia
|
eventTime | date-time |
Czas zdarzenia zakładki |
|
|
queryStartTime
|
queryStartTime | date-time |
Godzina rozpoczęcia zapytania |
|
|
queryEndTime
|
queryEndTime | date-time |
Godzina zakończenia zapytania |
|
|
Identyfikator zdarzenia usługi ARM
|
id | string |
Pełny kwalifikowany identyfikator arm zdarzenia. |
|
|
Nazwa zdarzenia usługi ARM
|
name | string |
Nazwa arm incydentu (GUID) |
|
|
Liczba alertów zdarzeń
|
alertsCount | integer |
Liczba alertów w zdarzeniu |
|
|
Liczba zakładek zdarzeń
|
bookmarksCount | integer |
Liczba zakładek w zdarzeniu |
|
|
Liczba komentarzy o zdarzeniach
|
commentsCount | integer |
Liczba komentarzy w zdarzeniu |
|
|
Nazwy produktów alertu zdarzenia
|
alertProductNames | array of string |
Lista nazw produktów alertów w zdarzeniu |
|
|
Adres URL zdarzenia dostawcy
|
providerIncidentUrl | string |
Adres URL zdarzenia w portalu usługi Microsoft Defender |
|
|
Scalony numer zdarzenia
|
mergedIncidentNumber | string |
Numer zdarzenia scalony z bieżącym zdarzeniem |
|
|
Scalony adres URL zdarzenia
|
mergedIncidentUrl | string |
Adres URL zdarzenia, do którego scalono bieżące zdarzenie |
|
|
Taktyka incydentu
|
Incident Tactics | string |
Reprezentuje element taktyki skojarzony ze zdarzeniem |
|
|
Techniki zdarzeń
|
techniques | array of string |
Techniki związane z taktyką incydentu |
|
|
Klasyfikacja zdarzeń
|
classification | string |
Przyczyna zamknięcia zdarzenia |
|
|
Komentarz klasyfikacji zdarzeń
|
classificationComment | string |
Opisuje przyczynę zamknięcia zdarzenia |
|
|
Przyczyna klasyfikacji zdarzeń
|
classificationReason | string |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
|
|
Godzina utworzenia zdarzenia utc
|
createdTimeUtc | date-time |
Godzina utworzenia zdarzenia |
|
|
Opis zdarzenia
|
description | string |
Opis zdarzenia |
|
|
Czas pierwszego działania zdarzenia (UTC)
|
firstActivityTimeUtc | date-time |
Czas pierwszego działania w zdarzeniu |
|
|
Adres URL zdarzenia
|
incidentUrl | string |
Bezpośredni adres URL zdarzenia w witrynie Azure Portal |
|
|
Identyfikator zdarzenia dostawcy
|
providerIncidentId | string |
Identyfikator incydentu przypisany przez dostawcę incydentu. |
|
|
Identyfikator usługi Incident Sentinel
|
incidentNumber | integer |
Sekwencyjny numer używany do identyfikowania zdarzenia w usłudze Microsoft Sentinel. |
|
|
Czas ostatniego działania zdarzenia UTC
|
lastActivityTimeUtc | date-time |
Godzina ostatniego działania w zdarzeniu |
|
|
Ważność zdarzenia
|
severity | string |
Powaga incydentu |
|
|
Stan zdarzenia
|
status | string |
Stan zdarzenia |
|
|
Tytuł zdarzenia
|
title | string |
Tytuł incydentu |
|
|
Name
|
labelName | True | string |
Nazwa tagu |
|
Typ
|
labelType | string |
Typ tagu |
|
|
Czas ostatniej modyfikacji zdarzenia UTC
|
lastModifiedTimeUtc | date-time |
Czas ostatniej aktualizacji zdarzenia |
|
|
Email
|
string |
Wiadomość e-mail użytkownika, do której przypisano zdarzenie. |
||
|
Przypisano do
|
assignedTo | string |
Nazwa użytkownika, do której przypisano zdarzenie. (assignedTo field) |
|
|
Identyfikator Obiektu
|
objectId | uuid |
Identyfikator obiektu użytkownika, do któremu przypisano zdarzenie. |
|
|
Główna nazwa użytkownika
|
userPrincipalName | string |
Główna nazwa użytkownika, do której przypisano zdarzenie. |
|
|
Identyfikatory reguł analitycznych związanych z incydentami
|
relatedAnalyticRuleIds | array of string |
Lista identyfikatorów zasobów reguł analitycznych związanych ze zdarzeniem |
|
|
identyfikator
|
id | string |
Pełny kwalifikowany identyfikator arm komentarza. |
|
|
Name
|
name | string |
Nazwa arm komentarza (GUID) |
|
|
properties
|
properties |
Reprezentuje dane JSON właściwości komentarza zdarzenia. |
Zwraca
Reprezentuje zakładkę w usłudze Azure Security Insights.
- Body
- Bookmark
Zakładki — usuwanie zakładki
Zakładki — usuwanie zakładki
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Określanie identyfikatora zakładki
|
bookmarkId | True | string |
Identyfikator zakładki |
Zwraca
- response
- string
Zmień opis zdarzenia (wersja 2) (przestarzałe) [PRZESTARZAŁE]
zmienia opis wybranego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
Określ opis
|
Value | True | string |
Wartość opisu |
Zwraca
- response
- string
Zmień opis zdarzenia [PRZESTARZAŁE]
zmienia opis wybranego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
Określ opis
|
fieldValue | True | string |
Wartość opisu |
Zwraca
- response
- string
Zmień stan zdarzenia (przestarzałe) [PRZESTARZAŁE]
zmienia stan wybranego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
Określanie stanu
|
status | True | string |
Wartość stanu |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Dynamiczny schemat zmiany stanu zdarzenia |
Zwraca
- response
- string
Zmień tytuł zdarzenia (wersja 2) (przestarzałe) [PRZESTARZAŁE]
zmienia tytuł wybranego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
Określ tytuł
|
Value | True | string |
Wartość tytułu |
Zwraca
- response
- string
Zmień tytuł zdarzenia [PRZESTARZAŁE]
zmienia tytuł wybranego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
Określ tytuł
|
fieldValue | True | string |
Wartość tytułu |
Zwraca
- response
- string
Zmień ważność zdarzenia (przestarzałe) [PRZESTARZAŁE]
zmienia ważność wybranego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Określanie identyfikatora subskrypcji
|
subscriptionId | True | string |
Identyfikator subskrypcji |
|
Określanie grupy zasobów
|
resourceGroup | True | string |
Grupa zasobów |
|
Określanie identyfikatora obszaru roboczego
|
workspaceId | True | string |
Identyfikator obszaru roboczego |
|
Identyfikator
|
identifier | True | string |
Zdarzenie/alert |
|
Określanie alertu/zdarzenia
|
id | True | string |
Podaj numer zdarzenia/identyfikator alertu |
|
Określanie ważności
|
severity | True | string |
Wartość ważności |
Zwraca
- response
- string
Wyzwalacze
| Alert usługi Microsoft Sentinel |
Po wyzwoleniu odpowiedzi na alert usługi Microsoft Sentinel. Ten podręcznik jest wyzwalany przez regułę analizy po utworzeniu nowego alertu lub przez wyzwalanie ręczne. Element Playbook odbiera alert jako dane wejściowe. |
| Jednostka usługi Microsoft Sentinel |
Uruchamianie podręcznika w jednostce usługi Microsoft Sentinel |
| Po wyzwoleniu odpowiedzi na alert usługi Microsoft Sentinel [PRZESTARZAŁE] |
Po wyzwoleniu odpowiedzi na alert usługi Microsoft Sentinel. Ten podręcznik musi być wyzwalany przy użyciu usługi Microsoft Sentinel w czasie rzeczywistym lub z platformy Azure |
| Zdarzenie usługi Microsoft Sentinel |
Po wyzwoleniu odpowiedzi na zdarzenie usługi Microsoft Sentinel. Ten podręcznik jest wyzwalany przez regułę automatyzacji po utworzeniu lub zaktualizowaniu nowego zdarzenia. Podręcznik odbiera zdarzenie usługi Microsoft Sentinel jako dane wejściowe, w tym alerty i jednostki. |
Alert usługi Microsoft Sentinel
Po wyzwoleniu odpowiedzi na alert usługi Microsoft Sentinel. Ten podręcznik jest wyzwalany przez regułę analizy po utworzeniu nowego alertu lub przez wyzwalanie ręczne. Element Playbook odbiera alert jako dane wejściowe.
Zwraca
- Body
- Alert
Jednostka usługi Microsoft Sentinel
Uruchamianie podręcznika w jednostce usługi Microsoft Sentinel
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Typ encji
|
entityType | True | string |
Typ encji |
Zwraca
Po wyzwoleniu odpowiedzi na alert usługi Microsoft Sentinel [PRZESTARZAŁE]
Po wyzwoleniu odpowiedzi na alert usługi Microsoft Sentinel. Ten podręcznik musi być wyzwalany przy użyciu usługi Microsoft Sentinel w czasie rzeczywistym lub z platformy Azure
Zwraca
- Body
- Alert
Zdarzenie usługi Microsoft Sentinel
Po wyzwoleniu odpowiedzi na zdarzenie usługi Microsoft Sentinel. Ten podręcznik jest wyzwalany przez regułę automatyzacji po utworzeniu lub zaktualizowaniu nowego zdarzenia. Podręcznik odbiera zdarzenie usługi Microsoft Sentinel jako dane wejściowe, w tym alerty i jednostki.
Zwraca
Definicje
UploadApiValidationErrors
Odpowiedź z interfejsu API uplaod analizy zagrożeń. Są to błędy dotyczące nieprawidłowych obiektów w treści żądania.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
Odpowiedź ze wskaźników uplaod analizy zagrożeń.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Lista kont skojarzonych z alertem
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Lista kont skojarzonych z alertem |
Account
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Name
|
Name | string |
Nazwa konta |
|
Domena NT
|
NTDomain | string |
Nazwa domeny NETBIOS wyświetlana w formacie alertu |
|
Domena dns
|
DnsDomain | string |
W pełni kwalifikowana nazwa DNS domeny |
|
Sufiks nazwy UPN
|
UPNSuffix | string |
Sufiks głównej nazwy użytkownika |
|
SID
|
Sid | string |
Identyfikator zabezpieczeń konta, np. S-1-5-18 |
|
Identyfikator dzierżawy entra firmy Microsoft
|
AadTenantId | string |
Identyfikator dzierżawy entra firmy Microsoft, jeśli jest znany |
|
Identyfikator użytkownika entra firmy Microsoft
|
AadUserId | string |
Identyfikator użytkownika entra firmy Microsoft, jeśli jest znany |
|
PUID
|
PUID | string |
Identyfikator użytkownika usługi Microsoft Entra ID Passport, jeśli jest znany |
|
Czy domena jest przyłączona
|
IsDomainJoined | boolean |
Określa, czy jest to konto domeny |
|
ObjectGuid
|
ObjectGuid | string |
Atrybut objectGUID jest atrybutem o pojedynczej wartości, który jest unikatowym identyfikatorem obiektu, przypisanym przez identyfikator Entra firmy Microsoft |
BatchResponseUrl
Lista adresów URL skojarzonych z alertem
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Adresy URL
|
URLs | array of UrlEntity |
Lista adresów URL skojarzonych z alertem |
UrlEntity
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
URL
|
Url | string |
BatchResponseHost
Lista hostów skojarzonych z alertem
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Lista hostów skojarzonych z alertem |
Host
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Domena DNS
|
DnsDomain | string |
Domena DNS, do którego należy ten host |
|
Domena NT
|
NTDomain | string |
Domena NT, do którego należy ten host |
|
Hostname
|
HostName | string |
Nazwa hosta bez sufiksu domeny |
|
NetBiosName
|
NetBiosName | string |
Nazwa hosta (wcześniej windows2000) |
|
Identyfikator OMSAgentID
|
OMSAgentID | string |
Identyfikator agenta pakietu OMS, jeśli host ma zainstalowanego agenta pakietu OMS |
|
OSFamily
|
OSFamily | string |
Jedna z następujących wartości: Linux, Windows, Android, IOS |
|
Wersja systemu operacyjnego
|
OSVersion | string |
Bezpłatna reprezentacja tekstu systemu operacyjnego |
|
Czy domena jest przyłączona
|
IsDomainJoined | boolean |
Określa, czy ten host należy do domeny |
|
Identyfikator platformy Azure
|
AzureID | string |
Identyfikator zasobu platformy Azure maszyny wirtualnej, jeśli jest znany |
BatchResponseIP
Lista adresów IP skojarzonych z alertem
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Ips
|
IPs | array of IP |
Lista adresów IP skojarzonych z alertem |
IP
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Address
|
Address | string |
adres IP |
BatchResponseDNS
Lista domen DNS skojarzonych z alertem
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Domeny DNS
|
Dnsresolutions | array of DNS |
Lista domen DNS skojarzonych z alertem |
DNS
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Nazwa domeny
|
DomainName | string |
Nazwa rekordu DNS skojarzonego z alertem |
BatchResponseFileHash
Lista skrótów plików skojarzonych z alertem
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Skróty plików
|
Filehashes | array of FileHash |
Lista skrótów plików skojarzonych z alertem |
FileHash
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Wartość
|
Value | string |
Wartość skrótu pliku |
|
Algorithm
|
Algorithm | string |
Typy algorytmów skrótu pliku |
OldIncident
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
properties
|
properties | OldIncidentProperties |
OldIncidentProperties
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Status
|
Status | string |
Stan zdarzenia |
|
Etykiety
|
Labels | array of |
Etykiety incydentu |
|
Title
|
Title | string |
Tytuł incydentu |
|
Description
|
Description | string |
Opis zdarzenia |
|
Godzina zakończenia utc
|
EndTimeUtc | string |
Godzina zakończenia zdarzenia |
|
Godzina rozpoczęcia utc
|
StartTimeUtc | string |
Godzina rozpoczęcia zdarzenia |
|
Czas ostatniej aktualizacji utc
|
LastUpdatedTimeUtc | string |
Czas aktualizacji zdarzenia |
|
Number
|
CaseNumber | string |
Liczba incydentów |
|
Godzina utworzenia (utc)
|
CreatedTimeUtc | string |
Czas utworzenia zdarzenia |
|
Severity
|
Severity | string |
Powaga incydentu |
|
Powiązane identyfikatory alertów
|
RelatedAlertIds | array of |
Powiązane identyfikatory alertów zdarzenia |
IncidentAdditionalData
Zdarzenie dodatkowej torby właściwości danych.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba alertów zdarzeń
|
alertsCount | integer |
Liczba alertów w zdarzeniu |
|
Liczba zakładek zdarzeń
|
bookmarksCount | integer |
Liczba zakładek w zdarzeniu |
|
Liczba komentarzy o zdarzeniach
|
commentsCount | integer |
Liczba komentarzy w zdarzeniu |
|
Nazwy produktów alertu zdarzenia
|
alertProductNames | array of string |
Lista nazw produktów alertów w zdarzeniu |
|
Adres URL zdarzenia dostawcy
|
providerIncidentUrl | string |
Adres URL zdarzenia w portalu usługi Microsoft Defender |
|
Scalony numer zdarzenia
|
mergedIncidentNumber | string |
Numer zdarzenia scalony z bieżącym zdarzeniem |
|
Scalony adres URL zdarzenia
|
mergedIncidentUrl | string |
Adres URL zdarzenia, do którego scalono bieżące zdarzenie |
|
Taktyka incydentu
|
tactics | array of AttackTactic |
Taktyka związana z incydentem |
|
Techniki zdarzeń
|
techniques | array of string |
Techniki związane z taktyką incydentu |
Etykieta incydentu
Reprezentuje tag zdarzenia
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Name
|
labelName | string |
Nazwa tagu |
|
Typ
|
labelType | string |
Typ tagu |
IncidentOwnerInfo (Informacje o właścicielu)
Informacje o użytkowniku, do których przypisano zdarzenie
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Email
|
string |
Wiadomość e-mail użytkownika, do której przypisano zdarzenie. |
|
|
Przypisano do
|
assignedTo | string |
Nazwa użytkownika, do której przypisano zdarzenie. (assignedTo field) |
|
Identyfikator Obiektu
|
objectId | uuid |
Identyfikator obiektu użytkownika, do któremu przypisano zdarzenie. |
|
Główna nazwa użytkownika
|
userPrincipalName | string |
Główna nazwa użytkownika, do której przypisano zdarzenie. |
AttackTactic
Reprezentuje element taktyki skojarzony ze zdarzeniem
Reprezentuje element taktyki skojarzony ze zdarzeniem
Zależnie od alertów
HuntingBookmark
Reprezentuje element zakładki wyszukiwania zagrożeń
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator usługi ARM
|
id | string |
Pełny kwalifikowany identyfikator arm zakładki. |
|
Nazwa usługi ARM
|
name | string |
Nazwa arm zakładki (GUID) |
|
properties
|
properties | HuntingBookmarkProperties |
Reprezentuje wartość JSON właściwości elementu huntingbookmark. |
Alert bezpieczeństwa
Reprezentuje element alertu zabezpieczeń
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator usługi ARM
|
id | string |
Pełny kwalifikowany identyfikator arm alertu. |
|
Nazwa usługi ARM
|
name | string |
Nazwa usługi ARM alertu (GUID) |
|
properties
|
properties | SecurityAlertProperties |
Reprezentuje właściwości alertu JSON. |
HuntingBookmarkProperties
Reprezentuje wartość JSON właściwości elementu huntingbookmark.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Wyświetlana nazwa
|
displayName | string |
Nazwa wyświetlana zakładki |
|
Created
|
created | date-time |
Godzina utworzenia zakładki |
|
Updated
|
updated | date-time |
Zaktualizowany czas zakładki |
|
Utworzone przez informacje o użytkowniku
|
createdBy | CreatedByUserInfo |
Reprezentuje plik JSON właściwości UserInfo. |
|
Zaktualizowane według informacji o użytkowniku
|
updatedBy | UpdatedByUserInfo |
Reprezentuje plik JSON właściwości UserInfo. |
|
Czas zdarzenia
|
eventTime | date-time |
Czas zdarzenia zakładki |
|
Notatki
|
notes | string |
Uwagi dotyczące zakładki |
|
Etykiety
|
labels | array of string |
Etykiety zakładki |
|
Query
|
query | string |
Zapytanie zakładki |
|
Wynik zapytania
|
queryResult | string |
Wynik zapytania zakładki |
SecurityAlertProperties
Reprezentuje właściwości alertu JSON.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Przyjazna nazwa
|
friendlyName | string |
Nazwa wyświetlana elementu grafu, która jest krótko czytelnym opisem wystąpienia elementu grafu. Ta właściwość jest opcjonalna i może być generowana przez system. |
|
Wyświetlana nazwa
|
alertDisplayName | string |
Nazwa wyświetlana alertu |
|
Typ
|
alertType | string |
W przypadku alertu dotyczącego harmonogramu jest to identyfikator reguły analizy. |
|
URI
|
alertLink | string |
Jest to link do alertu u dostawcy orignal. |
|
Naruszona jednostka
|
compromisedEntity | string |
Nazwa wyświetlana głównej jednostki, o której mowa. |
|
Poziom ufności
|
confidenceLevel | string |
Poziom ufności tego alertu. |
|
Description
|
description | string |
Opis alertu. |
|
Godzina zakończenia czasu UTC
|
endTimeUtc | date-time |
Czas zakończenia alertu (czas ostatniego zdarzenia współtworzenia alertu). |
|
Identyfikator dostawcy
|
providerAlertId | string |
Identyfikator alertu w produkcie, który wygenerował alert. |
|
Nazwa produktu
|
productName | string |
Nazwa produktu, który opublikował ten alert. |
|
Kroki remedytacji
|
remediationSteps | array of string |
Lista elementów akcji ręcznych do podjęcia w celu skorygowania alertu. |
|
Severity
|
severity | AlertSeverity |
Ważność alertu |
|
Godzina rozpoczęcia
|
startTimeUtc | date-time |
Czas rozpoczęcia wpływu alertu (czas pierwszego zdarzenia przyczyniającego się do alertu). |
|
Status
|
status | string |
Stan cyklu życia alertu. |
|
Identyfikator systemu
|
systemAlertId | string |
Przechowuje identyfikator produktu alertu dla produktu. |
|
Tactics
|
tactics | array of AttackTactic |
Lista taktyk alertów. |
|
Czas generowania
|
timeGenerated | date-time |
Czas wygenerowania alertu. |
|
Query
|
additionalData.Query | string |
Zapytanie używane do określania, czy alert powinien zostać wyzwolony (zaplanuj tylko alert). |
|
Godzina rozpoczęcia zapytania
|
additionalData.Query Start Time UTC | string |
Godzina rozpoczęcia zapytania użytego do podjęcia decyzji, czy alert powinien zostać wyzwolony (zaplanuj tylko alert). |
|
Godzina zakończenia zapytania
|
additionalData.Query End Time UTC | string |
Godzina rozpoczęcia zapytania użytego do podjęcia decyzji, czy alert powinien zostać wyzwolony (zaplanuj tylko alert). |
|
Operator zapytania
|
additionalData.Trigger Operator | string |
Operator używany do decydowania, czy alert powinien zostać wyzwolony (zaplanuj tylko alert). |
|
Próg zapytania
|
additionalData.Trigger Threshold | string |
Próg używany do decydowania, czy alert powinien zostać wyzwolony (zaplanuj tylko alert). |
|
Szczegóły niestandardowe
|
additionalData.Custom Details | string |
Niestandardowe szczegóły zdarzenia dodane do alertu przez reguły analizy (tylko zaplanowane alerty). Aby użyć tego pola, postępuj zgodnie z akcją "Przeanalizuj kod JSON" i użyj przykładowego ładunku z istniejącego alertu, aby zasymulować schemat. |
|
Identyfikatory zasobów
|
resourceIdentifiers | array of object |
Identyfikatory zasobów alertu |
|
items
|
resourceIdentifiers | object |
Reprezentuje identyfikator zasobu alertu. |
Incydent
Reprezentuje zdarzenie w usłudze Azure Security Insights.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator zdarzenia usługi ARM
|
id | string |
Pełny kwalifikowany identyfikator arm zdarzenia. |
|
Nazwa zdarzenia usługi ARM
|
name | string |
Nazwa arm incydentu (GUID) |
|
properties
|
properties | IncidentProperties |
Reprezentuje kod JSON właściwości zdarzenia. |
FullIncident
Pobieranie zdarzenia według identyfikatora usługi ARM
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator zdarzenia usługi ARM
|
id | string |
Pełny kwalifikowany identyfikator arm zdarzenia. |
|
Nazwa zdarzenia usługi ARM
|
name | string |
Nazwa arm incydentu (GUID) |
|
properties
|
properties | FullIncidentProperties |
Reprezentuje kod JSON właściwości zdarzenia. |
IncidentProperties
Reprezentuje kod JSON właściwości zdarzenia.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
additionalData (dane dodatkowe)
|
additionalData | IncidentAdditionalData |
Zdarzenie dodatkowej torby właściwości danych. |
|
Klasyfikacja zdarzeń
|
classification | string |
Przyczyna zamknięcia zdarzenia |
|
Komentarz klasyfikacji zdarzeń
|
classificationComment | string |
Opisuje przyczynę zamknięcia zdarzenia |
|
Przyczyna klasyfikacji zdarzeń
|
classificationReason | string |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
|
Godzina utworzenia zdarzenia utc
|
createdTimeUtc | date-time |
Godzina utworzenia zdarzenia |
|
Opis zdarzenia
|
description | string |
Opis zdarzenia |
|
Czas pierwszego działania zdarzenia (UTC)
|
firstActivityTimeUtc | date-time |
Czas pierwszego działania w zdarzeniu |
|
Adres URL zdarzenia
|
incidentUrl | string |
Bezpośredni adres URL zdarzenia w witrynie Azure Portal |
|
Identyfikator zdarzenia dostawcy
|
providerIncidentId | string |
Identyfikator incydentu przypisany przez dostawcę incydentu. |
|
Identyfikator usługi Incident Sentinel
|
incidentNumber | integer |
Sekwencyjny numer używany do identyfikowania zdarzenia w usłudze Microsoft Sentinel. |
|
Czas ostatniego działania zdarzenia UTC
|
lastActivityTimeUtc | date-time |
Godzina ostatniego działania w zdarzeniu |
|
Ważność zdarzenia
|
severity | string |
Powaga incydentu |
|
Stan zdarzenia
|
status | string |
Stan zdarzenia |
|
Tytuł zdarzenia
|
title | string |
Tytuł incydentu |
|
Tagi zdarzeń
|
labels | array of IncidentLabel |
Lista tagów skojarzonych z tym zdarzeniem |
|
Czas ostatniej modyfikacji zdarzenia UTC
|
lastModifiedTimeUtc | date-time |
Czas ostatniej aktualizacji zdarzenia |
|
Właściciel zdarzenia
|
owner | IncidentOwnerInfo |
Informacje o użytkowniku, do których przypisano zdarzenie |
|
Identyfikatory reguł analitycznych związanych z incydentami
|
relatedAnalyticRuleIds | array of string |
Lista identyfikatorów zasobów reguł analitycznych związanych ze zdarzeniem |
|
Comments
|
Comments | array of IncidentComment |
Lista komentarzy dotyczących tego incydentu. |
FullIncidentProperties
Reprezentuje kod JSON właściwości zdarzenia.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
additionalData (dane dodatkowe)
|
additionalData | IncidentAdditionalData |
Zdarzenie dodatkowej torby właściwości danych. |
|
Klasyfikacja zdarzeń
|
classification | string |
Przyczyna zamknięcia zdarzenia |
|
Komentarz klasyfikacji zdarzeń
|
classificationComment | string |
Opisuje przyczynę zamknięcia zdarzenia |
|
Przyczyna klasyfikacji zdarzeń
|
classificationReason | string |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
|
Godzina utworzenia zdarzenia utc
|
createdTimeUtc | date-time |
Godzina utworzenia zdarzenia |
|
Opis zdarzenia
|
description | string |
Opis zdarzenia |
|
Czas pierwszego działania zdarzenia (UTC)
|
firstActivityTimeUtc | date-time |
Czas pierwszego działania w zdarzeniu |
|
Adres URL zdarzenia
|
incidentUrl | string |
Bezpośredni adres URL zdarzenia w witrynie Azure Portal |
|
Identyfikator zdarzenia dostawcy
|
providerIncidentId | string |
Identyfikator incydentu przypisany przez dostawcę incydentu. |
|
Identyfikator usługi Incident Sentinel
|
incidentNumber | integer |
Sekwencyjny numer używany do identyfikowania zdarzenia w usłudze Microsoft Sentinel. |
|
Czas ostatniego działania zdarzenia UTC
|
lastActivityTimeUtc | date-time |
Godzina ostatniego działania w zdarzeniu |
|
Ważność zdarzenia
|
severity | string |
Powaga incydentu |
|
Stan zdarzenia
|
status | string |
Stan zdarzenia |
|
Tytuł zdarzenia
|
title | string |
Tytuł incydentu |
|
Tagi zdarzeń
|
labels | array of IncidentLabel |
Lista tagów skojarzonych z tym zdarzeniem |
|
Czas ostatniej modyfikacji zdarzenia UTC
|
lastModifiedTimeUtc | date-time |
Czas ostatniej aktualizacji zdarzenia |
|
Właściciel zdarzenia
|
owner | IncidentOwnerInfo |
Informacje o użytkowniku, do których przypisano zdarzenie |
|
Identyfikatory reguł analitycznych związanych z incydentami
|
relatedAnalyticRuleIds | array of string |
Lista identyfikatorów zasobów reguł analitycznych związanych ze zdarzeniem |
|
Comments
|
Comments | array of IncidentComment |
Lista komentarzy dotyczących tego incydentu. |
|
Alerts
|
Alerts | array of SecurityAlert |
Lista alertów związanych z tym zdarzeniem. |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
Lista zakładek związanych z tym zdarzeniem. |
|
Entities
|
relatedEntities | string |
Lista jednostek związanych ze zdarzeniem może zawierać jednostki różnych typów |
IncidentEventNotification
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Zaktualizowane nazwy pól
|
incidentUpdates.updatedFields | array of string |
Nazwy pól zaktualizowanych w zdarzeniu |
|
Czas aktualizacji
|
incidentUpdates.updatedTime | date-time |
Czas zdarzenia aktualizacji zdarzenia |
|
Źródło
|
incidentUpdates.updatedBy.source | string |
Aktor, który zaktualizował zdarzenie: użytkownik, aplikacja zewnętrzna, podręcznik, reguła automatyzacji, usługa Microsoft 365 Defender lub grupowanie alertów |
|
Name
|
incidentUpdates.updatedBy.name | string |
Nazwa użytkownika, aplikacji, reguły automatyzacji lub podręcznika, który zaktualizował zdarzenie |
|
Alerty dotyczące zdarzeń
|
incidentUpdates.alerts | array of SecurityAlert |
Lista alertów dodanych do tego zdarzenia. |
|
Tagi zdarzeń
|
incidentUpdates.labels | array of IncidentLabel |
Lista tagów dodanych do tego zdarzenia |
|
Komentarze dotyczące incydentów
|
incidentUpdates.comments | array of IncidentComment |
Lista komentarzy dodanych do tego zdarzenia. |
|
Taktyka incydentu
|
incidentUpdates.tactics | array of AttackTactic |
Taktyka związana z incydentem |
|
Identyfikator subskrypcji
|
workspaceInfo.SubscriptionId | string |
Identyfikator subskrypcji obszaru roboczego usługi Microsoft Sentinel |
|
Nazwa grupy zasobów
|
workspaceInfo.ResourceGroupName | string |
Grupa zasobów obszaru roboczego usługi Microsoft Sentinel |
|
Nazwa obszaru roboczego
|
workspaceInfo.WorkspaceName | string |
Nazwa obszaru roboczego usługi Microsoft Sentinel |
|
Identyfikator obszaru roboczego
|
workspaceId | string |
Identyfikator obszaru roboczego zdarzenia. |
|
obiekt
|
object | FullIncident |
Pobieranie zdarzenia według identyfikatora usługi ARM |
CreatedByUserInfo
Reprezentuje plik JSON właściwości UserInfo.
Reprezentuje plik JSON właściwości UserInfo.
UpdatedByUserInfo
Reprezentuje plik JSON właściwości UserInfo.
Reprezentuje plik JSON właściwości UserInfo.
Alarm
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Nazwa produktu
|
ProductName | string |
Nazwa produktu, który opublikował ten alert |
|
Typ alertu
|
AlertType | string |
Nazwa typu alertu |
|
Godzina rozpoczęcia (UTC)
|
StartTimeUtc | date-time |
Godzina rozpoczęcia alertu po wykryciu pierwszego zdarzenia współtworzenia |
|
Godzina zakończenia (UTC)
|
EndTimeUtc | date-time |
Godzina zakończenia alertu po wykryciu ostatniego zdarzenia współtworzenia |
|
Czas wygenerowany (UTC)
|
TimeGenerated | date-time |
Czas wygenerowania alertu |
|
Severity
|
Severity | string |
Ważność alertu zgłaszana przez dostawcę |
|
Identyfikator alertu dostawcy
|
ProviderAlertId | string |
Unikatowy identyfikator określonego wystąpienia alertu ustawionego przez dostawcę |
|
Identyfikator alertu systemu
|
SystemAlertId | string |
Unikatowy identyfikator określonego wystąpienia alertu |
|
Nazwa wyświetlana alertu
|
AlertDisplayName | string |
Nazwa wyświetlana alertu |
|
Description
|
Description | string |
Opis alertu |
|
Entities
|
Entities | string |
Lista jednostek powiązanych z alertem może zawierać wiele typów jednostek |
|
Właściwości rozszerzone
|
ExtendedProperties | string |
Lista pól, które zostaną wyświetlone użytkownikowi |
|
Identyfikator obszaru roboczego
|
WorkspaceId | string |
Identyfikator obszaru roboczego alertu |
|
Grupa zasobów
|
WorkspaceResourceGroup | string |
alert grupy zasobów alertu |
|
Identyfikator subskrypcji
|
WorkspaceSubscriptionId | string |
Identyfikator subskrypcji alertu |
|
Łącza rozszerzone
|
ExtendedLinks | array of object |
Lista linków związanych z alertem może zawierać wiele typów |
IncidentComment
Reprezentuje element komentarza zdarzenia
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
identyfikator
|
id | string |
Pełny kwalifikowany identyfikator arm komentarza. |
|
Name
|
name | string |
Nazwa arm komentarza (GUID) |
|
properties
|
properties | IncidentCommentProperties |
Reprezentuje dane JSON właściwości komentarza zdarzenia. |
IncidentCommentProperties
Reprezentuje dane JSON właściwości komentarza zdarzenia.
Reprezentuje dane JSON właściwości komentarza zdarzenia.
IncidentTask
Reprezentuje element zadania zdarzenia
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
identyfikator
|
id | string |
Pełny kwalifikowany identyfikator arm zadania. |
|
Name
|
name | string |
Nazwa arm zadania |
|
properties
|
properties | IncidentTaskProperties |
Reprezentuje właściwości zadania zdarzenia. |
IncidentTaskProperties
ZdarzenieRelacja
Reprezentuje relację incydentu
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
identyfikator
|
id | string |
Pełny kwalifikowany identyfikator arm relacji incydentu. |
|
Name
|
name | string |
Nazwa arm relacji incydentu |
|
properties
|
properties | IncidentRelationProperties |
Reprezentuje dane JSON właściwości relacji zdarzeń. |
IncidentRelationProperties
Reprezentuje dane JSON właściwości relacji zdarzeń.
Reprezentuje dane JSON właściwości relacji zdarzeń.
Watchlist
Reprezentuje listę obserwowanych w usłudze Azure Security Insights.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
properties
|
properties | WatchlistProperties |
Opisuje właściwości listy obserwowanych |
Lista do obejrzeniaV2
Reprezentuje listę obserwowanych w usłudze Azure Security Insights.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
properties
|
properties | WatchlistPropertiesV2 |
Opisuje właściwości listy obserwowanych |
Lista do obejrzeniaWłaściwości
Opisuje właściwości listy obserwowanych
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
Identyfikator (identyfikator GUID) listy obserwowanych |
|
nazwa wyświetlana
|
displayName | string |
Nazwa wyświetlana listy obserwowanych |
|
dostawca
|
provider | string |
Dostawca listy do obejrzenia |
|
przesłać źródło
|
source | string |
Źródło listy obserwowanych |
|
utworzone
|
created | date-time |
Godzina utworzenia listy obserwowanych |
|
aktualizowano
|
updated | date-time |
Ostatni raz lista obserwowanych została zaktualizowana |
|
utworzone przez
|
createdBy | UserInfo |
Informacje o użytkowniku, które dokonały jakiejś akcji |
|
zaktualizowanoPrzez
|
updatedBy | UserInfo |
Informacje o użytkowniku, które dokonały jakiejś akcji |
|
opis
|
description | string |
Opis listy obserwowanych |
|
watchlistType
|
watchlistType | string |
Typ listy obserwowanych |
|
watchlistAlias
|
watchlistAlias | string |
Alias listy obserwowanych |
|
isDeleted
|
isDeleted | boolean |
Flaga wskazująca, czy lista obserwowana została usunięta, czy nie |
|
labels
|
labels | array of Label |
Lista etykiet istotnych dla tej listy obserwowanych |
|
defaultDuration
|
defaultDuration | duration |
Domyślny czas trwania listy kontrolnej (w formacie czasu trwania ISO 8601) |
|
tenantId
|
tenantId | string |
TenantId, do którego należy lista obserwowanych |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Liczba wierszy w zawartości csv/tsv do pominięcia przed nagłówkiem |
|
rawContent
|
rawContent | string |
Nieprzetworzona zawartość reprezentująca element listy obserwowanych do utworzenia. W przypadku typu zawartości csv/tsv jest to zawartość pliku, który będzie analizowany przez punkt końcowy |
|
itemsSearchKey
|
itemsSearchKey | string |
Klucz wyszukiwania służy do optymalizowania wydajności zapytań podczas korzystania z list kontrolnych dla sprzężeń z innymi danymi. Na przykład włącz kolumnę z adresami IP jako wyznaczone pole SearchKey, a następnie użyj tego pola jako pola klucza podczas dołączania do innych danych zdarzeń według adresu IP. |
|
typ treści
|
contentType | string |
Typ zawartości nieprzetworzonej. Przykład: tekst/csv lub tekst/tsv |
|
uploadStatus
|
uploadStatus | string |
Stan przekazywania listy obserwowanych: Nowy, InProgress lub Complete. Uwaga Pls: jeśli stan przekazywania listy do obejrzenia jest równy InProgress, nie można usunąć listy obserwowanych |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
Liczba elementów listy obserwowanych na liście obserwowanych |
Lista obejrzeniaPropertiesV2
Opisuje właściwości listy obserwowanych
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
Identyfikator (identyfikator GUID) listy obserwowanych |
|
nazwa wyświetlana
|
displayName | string |
Nazwa wyświetlana listy obserwowanych |
|
dostawca
|
provider | string |
Dostawca listy do obejrzenia |
|
przesłać źródło
|
source | string |
Nazwa pliku listy obserwowanych o nazwie "source" |
|
sourceType
|
sourceType | string |
Typ źródła listy obserwowanych |
|
utworzone
|
created | date-time |
Godzina utworzenia listy obserwowanych |
|
aktualizowano
|
updated | date-time |
Ostatni raz lista obserwowanych została zaktualizowana |
|
utworzone przez
|
createdBy | UserInfo |
Informacje o użytkowniku, które dokonały jakiejś akcji |
|
zaktualizowanoPrzez
|
updatedBy | UserInfo |
Informacje o użytkowniku, które dokonały jakiejś akcji |
|
opis
|
description | string |
Opis listy obserwowanych |
|
watchlistType
|
watchlistType | string |
Typ listy obserwowanych |
|
watchlistAlias
|
watchlistAlias | string |
Alias listy obserwowanych |
|
isDeleted
|
isDeleted | boolean |
Flaga wskazująca, czy lista obserwowana została usunięta, czy nie |
|
labels
|
labels | array of Label |
Lista etykiet istotnych dla tej listy obserwowanych |
|
defaultDuration
|
defaultDuration | duration |
Domyślny czas trwania listy kontrolnej (w formacie czasu trwania ISO 8601) |
|
tenantId
|
tenantId | string |
TenantId, do którego należy lista obserwowanych |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Liczba wierszy w zawartości csv/tsv do pominięcia przed nagłówkiem |
|
rawContent
|
rawContent | string |
Nieprzetworzona zawartość reprezentująca element listy obserwowanych do utworzenia. W przypadku typu zawartości csv/tsv jest to zawartość pliku, który będzie analizowany przez punkt końcowy |
|
itemsSearchKey
|
itemsSearchKey | string |
Klucz wyszukiwania służy do optymalizowania wydajności zapytań podczas korzystania z list kontrolnych dla sprzężeń z innymi danymi. Na przykład włącz kolumnę z adresami IP jako wyznaczone pole SearchKey, a następnie użyj tego pola jako pola klucza podczas dołączania do innych danych zdarzeń według adresu IP. |
|
typ treści
|
contentType | string |
Typ zawartości nieprzetworzonej. Przykład: tekst/csv lub tekst/tsv |
|
uploadStatus
|
uploadStatus | string |
Stan przekazywania listy obserwowanych: Nowy, InProgress lub Complete. Uwaga Pls: jeśli stan przekazywania listy do obejrzenia jest równy InProgress, nie można usunąć listy obserwowanych |
Lista do obejrzeniaItemLista
Wyświetl listę wszystkich elementów listy obserwowanych.
Wyświetl listę wszystkich elementów listy obserwowanych.
Lista do obejrzeniaItem
Reprezentuje element WatchlistItem w usłudze Azure Security Insights.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
WatchlistItem Full ARM ID
|
id | string |
W pełni kwalifikowany identyfikator elementu listy do obejrzenia. |
|
WatchlistItem Unikatowy identyfikator
|
name | string |
Odpowiada identyfikatorowi WatchlistItem (GUID) |
|
WatchlistItem etag
|
etag | string |
Odpowiada etagowi (GUID) |
|
Typ watchlistItem
|
type | string |
Odpowiada typowi WatchlistItem |
|
value
|
value | object |
Szczegóły jednostki elementu listy obserwowanych. |
Bookmark
Reprezentuje zakładkę w usłudze Azure Security Insights.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
properties
|
properties | BookmarkProperties |
Opisuje właściwości zakładki |
Lista zakładek
Wyświetl listę wszystkich zakładek.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
nextLink
|
nextLink | string |
Adres URL, aby pobrać następny zestaw obserwacji. |
|
value
|
value | array of Bookmark |
Tablica zakładek. |
ZakładkaWłaściwości
Opisuje właściwości zakładki
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
utworzone
|
created | date-time |
Godzina utworzenia zakładki |
|
utworzone przez
|
createdBy | UserInfo |
Informacje o użytkowniku, które dokonały jakiejś akcji |
|
nazwa wyświetlana
|
displayName | string |
Nazwa wyświetlana zakładki |
|
labels
|
labels | array of Label |
Lista etykiet istotnych dla tej zakładki |
|
Notatki
|
notes | string |
Uwagi dotyczące zakładki |
|
kwerenda
|
query | string |
Zapytanie zakładki. |
|
queryResult
|
queryResult | string |
Wynik zapytania zakładki. |
|
aktualizowano
|
updated | date-time |
Godzina ostatniej aktualizacji zakładki |
|
zaktualizowanoPrzez
|
updatedBy | UserInfo |
Informacje o użytkowniku, które dokonały jakiejś akcji |
|
czas wydarzenia
|
eventTime | date-time |
Czas zdarzenia zakładki |
|
queryStartTime
|
queryStartTime | date-time |
Godzina rozpoczęcia zapytania |
|
queryEndTime
|
queryEndTime | date-time |
Godzina zakończenia zapytania |
|
incidentInfo
|
incidentInfo | Incident |
Reprezentuje zdarzenie w usłudze Azure Security Insights. |
Informacje o użytkowniku
Informacje o użytkowniku, które dokonały jakiejś akcji
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
e-mail
|
string |
Adres e-mail użytkownika. |
|
|
nazwa
|
name | string |
Nazwa użytkownika. |
|
objectId
|
objectId | uuid |
Identyfikator obiektu użytkownika. |
Etykieta
Etykieta, która będzie używana do tagowania i filtrowania.
Etykieta, która będzie używana do tagowania i filtrowania.
ciąg
Jest to podstawowy typ danych "string".