Incidents - List
Pobiera wszystkie zdarzenia.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}Parametry identyfikatora URI
| Nazwa | W | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Nazwa grupy zasobów. Nazwa jest niewrażliwa na wielkość liter. |
|
subscription
|
path | True |
string (uuid) |
Identyfikator subskrypcji docelowej. Wartość musi być identyfikatorem UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
Nazwa obszaru roboczego. |
|
api-version
|
query | True |
string minLength: 1 |
Wersja interfejsu API do użycia dla tej operacji. |
|
$filter
|
query |
string |
Filtruje wyniki na podstawie warunku logicznego. Opcjonalny. |
|
|
$orderby
|
query |
string |
Sortuje wyniki. Opcjonalny. |
|
|
$skip
|
query |
string |
Skiptoken jest używany tylko wtedy, gdy poprzednia operacja zwróciła częściowy wynik. Jeśli poprzednia odpowiedź zawiera element nextLink, wartość elementu nextLink będzie zawierać parametr skiptoken, który określa punkt wyjścia do użycia dla kolejnych wywołań. Opcjonalny. |
|
|
$top
|
query |
integer (int32) maximum: 1000 |
Zwraca tylko pierwsze n wyników. Opcjonalny. |
Odpowiedzi
| Nazwa | Typ | Opis |
|---|---|---|
| 200 OK |
OK, operacja została zakończona pomyślnie |
|
| Other Status Codes |
Odpowiedź na błąd opisująca, dlaczego operacja nie powiodła się. |
Zabezpieczenia
azure_auth
Przepływ protokołu OAuth2 usługi Azure Active Directory
Typ:
oauth2
Flow:
implicit
Adres URL autoryzacji:
https://login.microsoftonline.com/common/oauth2/authorize
Zakresy
| Nazwa | Opis |
|---|---|
| user_impersonation | personifikacja konta użytkownika |
Przykłady
Get all incidents.
Przykładowe żądanie
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01&$orderby=properties/createdTimeUtc desc&$top=1
Przykładowa odpowiedź
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}Definicje
| Nazwa | Opis |
|---|---|
|
Attack |
Ważność alertów utworzonych przez tę regułę alertu. |
|
Cloud |
Struktura odpowiedzi na błąd. |
|
Cloud |
Szczegóły błędu. |
|
created |
Typ tożsamości, która utworzyła zasób. |
| Incident |
Reprezentuje zdarzenie w usłudze Azure Security Insights. |
|
Incident |
Torba właściwości dodatkowych danych zdarzenia. |
|
Incident |
Przyczyna zamknięcia zdarzenia |
|
Incident |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
|
Incident |
Reprezentuje etykietę zdarzenia |
|
Incident |
Rodzaj etykiety |
|
Incident |
Wymień wszystkie zdarzenia. |
|
Incident |
Informacje o użytkowniku, do których przypisano zdarzenie |
|
Incident |
Powaga incydentu |
|
Incident |
Stan zdarzenia |
|
Owner |
Typ właściciela, do któremu przypisano zdarzenie. |
|
system |
Metadane dotyczące tworzenia i ostatniej modyfikacji zasobu. |
AttackTactic
Ważność alertów utworzonych przez tę regułę alertu.
| Wartość | Opis |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
Struktura odpowiedzi na błąd.
| Nazwa | Typ | Opis |
|---|---|---|
| error |
Dane o błędzie |
CloudErrorBody
Szczegóły błędu.
| Nazwa | Typ | Opis |
|---|---|---|
| code |
string |
Identyfikator błędu. Kody są niezmienne i mają być używane programowo. |
| message |
string |
Komunikat opisujący błąd, który ma być odpowiedni do wyświetlania w interfejsie użytkownika. |
createdByType
Typ tożsamości, która utworzyła zasób.
| Wartość | Opis |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Incident
Reprezentuje zdarzenie w usłudze Azure Security Insights.
| Nazwa | Typ | Opis |
|---|---|---|
| etag |
string |
Etag zasobu platformy Azure |
| id |
string (arm-id) |
W pełni kwalifikowany identyfikator zasobu dla zasobu. Np. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
Nazwa zasobu |
| properties.additionalData |
Dodatkowe dane na temat incydentu |
|
| properties.classification |
Przyczyna zamknięcia zdarzenia |
|
| properties.classificationComment |
string |
Opisuje przyczynę zamknięcia zdarzenia |
| properties.classificationReason |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
|
| properties.createdTimeUtc |
string (date-time) |
Czas utworzenia zdarzenia |
| properties.description |
string |
Opis zdarzenia |
| properties.firstActivityTimeUtc |
string (date-time) |
Czas pierwszego działania w zdarzeniu |
| properties.incidentNumber |
integer (int32) |
Numer porządkowy |
| properties.incidentUrl |
string |
Adres URL linku bezpośredniego do zdarzenia w Azure Portal |
| properties.labels |
Wykaz etykiet związanych z tym zdarzeniem |
|
| properties.lastActivityTimeUtc |
string (date-time) |
Godzina ostatniego działania w zdarzeniu |
| properties.lastModifiedTimeUtc |
string (date-time) |
Ostatnia aktualizacja incydentu |
| properties.owner |
Opisuje użytkownika, do którego przypisano zdarzenie |
|
| properties.providerIncidentId |
string |
Identyfikator zdarzenia przypisany przez dostawcę zdarzeń |
| properties.providerName |
string |
Nazwa dostawcy źródłowego, który wygenerował zdarzenie |
| properties.relatedAnalyticRuleIds |
string[] (arm-id) |
Lista identyfikatorów zasobów reguł analitycznych związanych ze zdarzeniem |
| properties.severity |
Powaga incydentu |
|
| properties.status |
Stan zdarzenia |
|
| properties.title |
string |
Tytuł incydentu |
| systemData |
Metadane usługi Azure Resource Manager zawierające informacje „createdBy” i „modifiedBy”. |
|
| type |
string |
Typ zasobu. Np. "Microsoft.Compute/virtualMachines" lub "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Torba właściwości dodatkowych danych zdarzenia.
| Nazwa | Typ | Opis |
|---|---|---|
| alertProductNames |
string[] |
Lista nazw produktów alertów w zdarzeniu |
| alertsCount |
integer (int32) |
Liczba wpisów w zdarzeniu |
| bookmarksCount |
integer (int32) |
Liczba zakładek w zdarzeniu |
| commentsCount |
integer (int32) |
Liczba komentarzy w incydencie |
| providerIncidentUrl |
string |
Adres URL zdarzenia dostawcy do zdarzenia w portalu Microsoft 365 Defender |
| tactics |
Taktyka związana z incydentem |
IncidentClassification
Przyczyna zamknięcia zdarzenia
| Wartość | Opis |
|---|---|
| Undetermined |
Klasyfikacja incydentu nie została określona |
| TruePositive |
Incydent był naprawdę pozytywny |
| BenignPositive |
Incydent był łagodny pozytywny |
| FalsePositive |
Incydent był fałszywie dodatni |
IncidentClassificationReason
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia
| Wartość | Opis |
|---|---|
| SuspiciousActivity |
Powodem klasyfikacji była podejrzana aktywność |
| SuspiciousButExpected |
Powód klasyfikacji był podejrzany, ale oczekiwany |
| IncorrectAlertLogic |
Przyczyną klasyfikacji była nieprawidłowa logika alertu |
| InaccurateData |
Powodem klasyfikacji były niedokładne dane |
IncidentLabel
Reprezentuje etykietę zdarzenia
| Nazwa | Typ | Opis |
|---|---|---|
| labelName |
string |
Nazwa etykiety |
| labelType |
Rodzaj etykiety |
IncidentLabelType
Rodzaj etykiety
| Wartość | Opis |
|---|---|
| User |
Etykieta utworzona ręcznie przez użytkownika |
| AutoAssigned |
Etykieta tworzona automatycznie przez system |
IncidentList
Wymień wszystkie zdarzenia.
| Nazwa | Typ | Opis |
|---|---|---|
| nextLink |
string |
Adres URL, aby pobrać następny zestaw zdarzeń. |
| value |
Incident[] |
Szereg incydentów. |
IncidentOwnerInfo
Informacje o użytkowniku, do których przypisano zdarzenie
| Nazwa | Typ | Opis |
|---|---|---|
| assignedTo |
string |
Nazwa użytkownika, do której przypisano zdarzenie. |
|
string |
Wiadomość e-mail użytkownika, do której przypisano zdarzenie. |
|
| objectId |
string (uuid) |
Identyfikator obiektu użytkownika, do któremu przypisano zdarzenie. |
| ownerType |
Typ właściciela, do któremu przypisano zdarzenie. |
|
| userPrincipalName |
string |
Główna nazwa użytkownika, do której przypisano zdarzenie. |
IncidentSeverity
Powaga incydentu
| Wartość | Opis |
|---|---|
| High |
Wysoka ważność |
| Medium |
Średnia ważność |
| Low |
Niska ważność |
| Informational |
Dotkliwość informacji |
IncidentStatus
Stan zdarzenia
| Wartość | Opis |
|---|---|
| New |
Aktywne zdarzenie, które nie jest obecnie obsługiwane |
| Active |
Aktywne zdarzenie, które jest obsługiwane |
| Closed |
Incydent nieaktywny |
OwnerType
Typ właściciela, do któremu przypisano zdarzenie.
| Wartość | Opis |
|---|---|
| Unknown |
Typ właściciela zdarzenia jest nieznany |
| User |
Typ właściciela zdarzenia to użytkownik usługi AAD |
| Group |
Typ właściciela zdarzenia to grupa usługi AAD |
systemData
Metadane dotyczące tworzenia i ostatniej modyfikacji zasobu.
| Nazwa | Typ | Opis |
|---|---|---|
| createdAt |
string (date-time) |
Sygnatura czasowa tworzenia zasobu (UTC). |
| createdBy |
string |
Tożsamość, która utworzyła zasób. |
| createdByType |
Typ tożsamości, która utworzyła zasób. |
|
| lastModifiedAt |
string (date-time) |
Znacznik czasu ostatniej modyfikacji zasobu (UTC) |
| lastModifiedBy |
string |
Tożsamość, która ostatnio zmodyfikowała zasób. |
| lastModifiedByType |
Typ tożsamości, która ostatnio zmodyfikowała zasób. |