Incidents - Create Or Update
Tworzy lub aktualizuje zdarzenie.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2025-09-01Parametry identyfikatora URI
| Nazwa | W | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
incident
|
path | True |
string |
Identyfikator zdarzenia |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Nazwa grupy zasobów. Nazwa jest niewrażliwa na wielkość liter. |
|
subscription
|
path | True |
string (uuid) |
Identyfikator subskrypcji docelowej. Wartość musi być identyfikatorem UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
Nazwa obszaru roboczego. |
|
api-version
|
query | True |
string minLength: 1 |
Wersja interfejsu API do użycia dla tej operacji. |
Treść żądania
| Nazwa | Wymagane | Typ | Opis |
|---|---|---|---|
| properties.severity | True |
Powaga incydentu |
|
| properties.status | True |
Stan zdarzenia |
|
| properties.title | True |
string |
Tytuł incydentu |
| etag |
string |
Etag zasobu platformy Azure |
|
| properties.classification |
Przyczyna zamknięcia zdarzenia |
||
| properties.classificationComment |
string |
Opisuje przyczynę zamknięcia zdarzenia |
|
| properties.classificationReason |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
||
| properties.description |
string |
Opis zdarzenia |
|
| properties.firstActivityTimeUtc |
string (date-time) |
Czas pierwszego działania w zdarzeniu |
|
| properties.labels |
Wykaz etykiet związanych z tym zdarzeniem |
||
| properties.lastActivityTimeUtc |
string (date-time) |
Godzina ostatniego działania w zdarzeniu |
|
| properties.owner |
Opisuje użytkownika, do którego przypisano zdarzenie |
Odpowiedzi
| Nazwa | Typ | Opis |
|---|---|---|
| 200 OK |
OK, operacja została zakończona pomyślnie |
|
| 201 Created |
Created |
|
| Other Status Codes |
Odpowiedź na błąd opisująca, dlaczego operacja nie powiodła się. |
Zabezpieczenia
azure_auth
Przepływ protokołu OAuth2 usługi Azure Active Directory
Typ:
oauth2
Flow:
implicit
Adres URL autoryzacji:
https://login.microsoftonline.com/common/oauth2/authorize
Zakresy
| Nazwa | Opis |
|---|---|
| user_impersonation | personifikacja konta użytkownika |
Przykłady
Creates or updates an incident.
Przykładowe żądanie
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-09-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Przykładowa odpowiedź
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}Definicje
| Nazwa | Opis |
|---|---|
|
Attack |
Ważność alertów utworzonych przez tę regułę alertu. |
|
Cloud |
Struktura odpowiedzi na błąd. |
|
Cloud |
Szczegóły błędu. |
|
created |
Typ tożsamości, która utworzyła zasób. |
| Incident |
Reprezentuje zdarzenie w usłudze Azure Security Insights. |
|
Incident |
Torba właściwości dodatkowych danych zdarzenia. |
|
Incident |
Przyczyna zamknięcia zdarzenia |
|
Incident |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
|
Incident |
Reprezentuje etykietę zdarzenia |
|
Incident |
Rodzaj etykiety |
|
Incident |
Informacje o użytkowniku, do których przypisano zdarzenie |
|
Incident |
Powaga incydentu |
|
Incident |
Stan zdarzenia |
|
Owner |
Typ właściciela, do któremu przypisano zdarzenie. |
|
system |
Metadane dotyczące tworzenia i ostatniej modyfikacji zasobu. |
AttackTactic
Ważność alertów utworzonych przez tę regułę alertu.
| Wartość | Opis |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
Struktura odpowiedzi na błąd.
| Nazwa | Typ | Opis |
|---|---|---|
| error |
Dane o błędzie |
CloudErrorBody
Szczegóły błędu.
| Nazwa | Typ | Opis |
|---|---|---|
| code |
string |
Identyfikator błędu. Kody są niezmienne i mają być używane programowo. |
| message |
string |
Komunikat opisujący błąd, który ma być odpowiedni do wyświetlania w interfejsie użytkownika. |
createdByType
Typ tożsamości, która utworzyła zasób.
| Wartość | Opis |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Incident
Reprezentuje zdarzenie w usłudze Azure Security Insights.
| Nazwa | Typ | Opis |
|---|---|---|
| etag |
string |
Etag zasobu platformy Azure |
| id |
string (arm-id) |
W pełni kwalifikowany identyfikator zasobu dla zasobu. Np. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
Nazwa zasobu |
| properties.additionalData |
Dodatkowe dane na temat incydentu |
|
| properties.classification |
Przyczyna zamknięcia zdarzenia |
|
| properties.classificationComment |
string |
Opisuje przyczynę zamknięcia zdarzenia |
| properties.classificationReason |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
|
| properties.createdTimeUtc |
string (date-time) |
Czas utworzenia zdarzenia |
| properties.description |
string |
Opis zdarzenia |
| properties.firstActivityTimeUtc |
string (date-time) |
Czas pierwszego działania w zdarzeniu |
| properties.incidentNumber |
integer (int32) |
Numer porządkowy |
| properties.incidentUrl |
string |
Adres URL linku bezpośredniego do zdarzenia w Azure Portal |
| properties.labels |
Wykaz etykiet związanych z tym zdarzeniem |
|
| properties.lastActivityTimeUtc |
string (date-time) |
Godzina ostatniego działania w zdarzeniu |
| properties.lastModifiedTimeUtc |
string (date-time) |
Ostatnia aktualizacja incydentu |
| properties.owner |
Opisuje użytkownika, do którego przypisano zdarzenie |
|
| properties.providerIncidentId |
string |
Identyfikator zdarzenia przypisany przez dostawcę zdarzeń |
| properties.providerName |
string |
Nazwa dostawcy źródłowego, który wygenerował zdarzenie |
| properties.relatedAnalyticRuleIds |
string[] (arm-id) |
Lista identyfikatorów zasobów reguł analitycznych związanych ze zdarzeniem |
| properties.severity |
Powaga incydentu |
|
| properties.status |
Stan zdarzenia |
|
| properties.title |
string |
Tytuł incydentu |
| systemData |
Metadane usługi Azure Resource Manager zawierające informacje „createdBy” i „modifiedBy”. |
|
| type |
string |
Typ zasobu. Np. "Microsoft.Compute/virtualMachines" lub "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Torba właściwości dodatkowych danych zdarzenia.
| Nazwa | Typ | Opis |
|---|---|---|
| alertProductNames |
string[] |
Lista nazw produktów alertów w zdarzeniu |
| alertsCount |
integer (int32) |
Liczba wpisów w zdarzeniu |
| bookmarksCount |
integer (int32) |
Liczba zakładek w zdarzeniu |
| commentsCount |
integer (int32) |
Liczba komentarzy w incydencie |
| providerIncidentUrl |
string |
Adres URL zdarzenia dostawcy do zdarzenia w portalu Microsoft 365 Defender |
| tactics |
Taktyka związana z incydentem |
IncidentClassification
Przyczyna zamknięcia zdarzenia
| Wartość | Opis |
|---|---|
| Undetermined |
Klasyfikacja incydentu nie została określona |
| TruePositive |
Incydent był naprawdę pozytywny |
| BenignPositive |
Incydent był łagodny pozytywny |
| FalsePositive |
Incydent był fałszywie dodatni |
IncidentClassificationReason
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia
| Wartość | Opis |
|---|---|
| SuspiciousActivity |
Powodem klasyfikacji była podejrzana aktywność |
| SuspiciousButExpected |
Powód klasyfikacji był podejrzany, ale oczekiwany |
| IncorrectAlertLogic |
Przyczyną klasyfikacji była nieprawidłowa logika alertu |
| InaccurateData |
Powodem klasyfikacji były niedokładne dane |
IncidentLabel
Reprezentuje etykietę zdarzenia
| Nazwa | Typ | Opis |
|---|---|---|
| labelName |
string |
Nazwa etykiety |
| labelType |
Rodzaj etykiety |
IncidentLabelType
Rodzaj etykiety
| Wartość | Opis |
|---|---|
| User |
Etykieta utworzona ręcznie przez użytkownika |
| AutoAssigned |
Etykieta tworzona automatycznie przez system |
IncidentOwnerInfo
Informacje o użytkowniku, do których przypisano zdarzenie
| Nazwa | Typ | Opis |
|---|---|---|
| assignedTo |
string |
Nazwa użytkownika, do której przypisano zdarzenie. |
|
string |
Wiadomość e-mail użytkownika, do której przypisano zdarzenie. |
|
| objectId |
string (uuid) |
Identyfikator obiektu użytkownika, do któremu przypisano zdarzenie. |
| ownerType |
Typ właściciela, do któremu przypisano zdarzenie. |
|
| userPrincipalName |
string |
Główna nazwa użytkownika, do której przypisano zdarzenie. |
IncidentSeverity
Powaga incydentu
| Wartość | Opis |
|---|---|
| High |
Wysoka ważność |
| Medium |
Średnia ważność |
| Low |
Niska ważność |
| Informational |
Dotkliwość informacji |
IncidentStatus
Stan zdarzenia
| Wartość | Opis |
|---|---|
| New |
Aktywne zdarzenie, które nie jest obecnie obsługiwane |
| Active |
Aktywne zdarzenie, które jest obsługiwane |
| Closed |
Incydent nieaktywny |
OwnerType
Typ właściciela, do któremu przypisano zdarzenie.
| Wartość | Opis |
|---|---|
| Unknown |
Typ właściciela zdarzenia jest nieznany |
| User |
Typ właściciela zdarzenia to użytkownik usługi AAD |
| Group |
Typ właściciela zdarzenia to grupa usługi AAD |
systemData
Metadane dotyczące tworzenia i ostatniej modyfikacji zasobu.
| Nazwa | Typ | Opis |
|---|---|---|
| createdAt |
string (date-time) |
Sygnatura czasowa tworzenia zasobu (UTC). |
| createdBy |
string |
Tożsamość, która utworzyła zasób. |
| createdByType |
Typ tożsamości, która utworzyła zasób. |
|
| lastModifiedAt |
string (date-time) |
Znacznik czasu ostatniej modyfikacji zasobu (UTC) |
| lastModifiedBy |
string |
Tożsamość, która ostatnio zmodyfikowała zasób. |
| lastModifiedByType |
Typ tożsamości, która ostatnio zmodyfikowała zasób. |