Microsoft Sentinel (versão prévia)
SIEM nativo de nuvem com uma IA interna para que você possa se concentrar no que mais importa
Esse conector está disponível nos seguintes produtos e regiões:
| Service | Class | Regions |
|---|---|---|
| Aplicativos Lógicos | Standard | Todas as regiões de Aplicativos Lógicos |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL |
Suporte do Microsoft LogicApps |
| Metadados do conector | |
|---|---|
| Publicador | Microsoft |
| Site | https://azure.microsoft.com/services/azure-sentinel/ |
Conector do Microsoft Sentinel
Conector em profundidade
Saiba mais sobre como usar este conector:
- Autenticar guias estratégicos no Azure Sentinel
- Usar gatilhos e ações em guias estratégicos
- Tutorial: Usar guias estratégicos com regras de automação no Microsoft Sentinel
Authentication
Gatilhos e ações no conector do Mcirosoft Sentinel podem operar em nome de qualquer identidade que tenha as permissões necessárias (leitura e/ou gravação) no workspace relevante. O conector dá suporte a vários tipos de identidade:
- Identidade gerenciada (versão prévia)
- Usuário da ID do Microsoft Entra
- Entidade de serviço (aplicativo ID do Microsoft Entra)
Permissões exigidas
| Funções/componentes do conector | Triggers | Ações de "Obter" | Atualizar incidente, adicionar um comentário |
|---|---|---|---|
| Leitor do Microsoft Sentinel | ✓ | ✓ | ✗ |
| Respondente/do Microsoft Sentinel Colaborador | ✓ | ✓ | ✓ |
Saiba mais sobre permissões no Microsoft Sentinel.
Saiba como usar as diferentes opções de autenticação.
Problemas e limitações conhecidos
Não é possível disparar um aplicativo lógico chamado por um gatilho do Microsoft Sentinel usando o botão "Executar Gatilho"
Um usuário não pode usar o botão Executar gatilho na folha Visão geral do serviço Aplicativos Lógicos para disparar um guia estratégico do Microsoft Sentinel.
Os Aplicativos Lógicos do Azure são disparados por uma chamada REST POST, cujo corpo é a entrada para o gatilho. Os Aplicativos Lógicos que começam com gatilhos do Microsoft Sentinel esperam ver o conteúdo de um alerta ou incidente do Microsoft Sentinel no corpo da chamada. Quando a chamada vem da folha Visão geral dos Aplicativos Lógicos, o corpo da chamada fica vazio e, portanto, um erro é gerado.
Estas são as únicas maneiras adequadas de disparar guias estratégicos do Microsoft Sentinel:
- Gatilho manual no Microsoft Sentinel
- Resposta automatizada de uma regra de análise (diretamente ou por meio de uma regra de automação) no Microsoft Sentinel
- Usar o botão "Reenviar" em uma folha de execução de Aplicativos Lógicos existente
- Chamar o ponto de extremidade dos Aplicativos Lógicos diretamente (anexando um alerta/incidente como o corpo)
Atualizando o mesmo incidente em paralelo para cada loop
Para cada loops são definidos por padrão para serem executados em paralelo, mas podem ser facilmente definidos para serem executados sequencialmente. Se um loop para cada loop puder atualizar o mesmo incidente do Microsoft Sentinel em iterações separadas, ele deverá ser configurado para ser executado sequencialmente.
Atualmente, não há suporte para a restauração da consulta original do alerta por meio de Aplicativos Lógicos
O uso do conector de Logs do Azure Monitor para recuperar os eventos capturados pela regra de análise de alertas agendada não é consistentemente confiável.
- Os Logs do Azure Monitor não dão suporte à definição de um intervalo de tempo personalizado. Restaurar exatamente os mesmos resultados da consulta requer definir exatamente o mesmo intervalo de tempo que na consulta original.
- Os alertas podem ser atrasados ao aparecer no workspace do Log Analytics depois que a regra dispara o guia estratégico.
Recursos disponíveis
Documentos do Microsoft Sentinel
- Avançar na automação com guias estratégicos
- Tutorial: Usar guias estratégicos com regras de automação no Microsoft Sentinel
- Autenticar playbooks no Microsoft Sentinel
- Usar gatilhos e ações em guias estratégicos
Referências do Microsoft Sentinel
Aplicativo Lógico do Azure
- Cenários, exemplos e instruções passo a passo para aplicativos lógicos do Azure
- Expressões de Aplicativos Lógicos
Criando uma conexão
O conector dá suporte aos seguintes tipos de autenticação:
| Default | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: todas as regiões
Parâmetros para criar conexão.
Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Limitações
| Nome | Chamadas | Período de renovação |
|---|---|---|
| Chamadas à API por conexão | 600 | 60 segundos |
Ações
| Adicionar alerta ao incidente |
Adicione um alerta a um incidente existente. O alerta une o incidente como qualquer outro alerta e será mostrado no portal. |
| Adicionar comentário ao incidente (V2) |
Adiciona comentário ao incidente selecionado |
| Adicionar comentário ao incidente (V3) |
Adiciona comentário ao incidente selecionado |
| Adicionar comentário ao incidente [PRETERIDO] |
Esta ação foi preterida. Em vez disso, use Adicionar comentário ao incidente (V3 ).
|
| Adicionar rótulos a incidentes (preteridos) [PRETERIDO] |
Adiciona rótulos ao incidente selecionado |
| Adicionar tarefa a incidentes |
Adiciona uma tarefa a um incidente existente |
| Alerta – Obter incidente |
Retorna o incidente associado ao alerta selecionado |
| Alerta – Obter incidente |
Retorna o incidente associado ao alerta selecionado |
| Alterar a gravidade do incidente (preterido) [PRETERIDO] |
altera a gravidade do incidente selecionado |
| Alterar descrição do incidente (V2) (preterido) [PRETERIDO] |
altera a descrição do incidente selecionado |
| Alterar descrição do incidente [PRETERIDO] |
altera a descrição do incidente selecionado |
| Alterar o status do incidente (preterido) [PRETERIDO] |
altera o status do incidente selecionado |
| Alterar o título do incidente (V2) (preterido) [PRETERIDO] |
altera o título do incidente selecionado |
| Alterar o título do incidente [PRETERIDO] |
altera o título do incidente selecionado |
| Atualizar incidente |
Atualizar incidente com campos fornecidos |
| Cancelamento da assinatura do gatilho ASI [PRETERIDO] |
Unsubscribe |
| Criar incidente |
Criar incidente com campos fornecidos |
| Entidades – Obter contas |
Retorna a lista de contas associadas ao alerta |
| Entidades – Obter DNS |
Retorna a lista de registros DNS associados ao alerta |
|
Entidades – Obter File |
Retorna a lista de Hashes de Arquivo associados ao alerta |
| Entidades – Obter hosts |
Retorna a lista de hosts associados ao alerta |
| Entidades – Obter IPs |
Retorna a lista de IPs associados ao alerta |
| Entidades – Obter URLs |
Retorna a lista de URLs associadas ao alerta |
| Indicadores (V2) – Criar um novo indicador (entrada json) (versão prévia) |
Indicadores (V2) – Criar um novo indicador válido (json). |
| Indicadores (V3) – Cria um novo indicador com campos separados (versão prévia) |
Indicadores (V3) – Criar um novo indicador. |
| Indicadores – Cria um novo indicador (versão prévia) |
Indicadores – Cria um novo indicador. |
| Indicadores – Excluir um indicador |
Indicadores – Excluir um indicador |
| Indicadores – Obter todos os indicadores |
Indicadores – Obter todos os indicadores para um determinado workspace |
| Indicadores – Obter um indicador |
Indicadores – Obter indicadores por Id |
| Inteligência contra ameaças – Carregar indicadores de comprometimento (preterido) |
Inteligência contra ameaças – Carregar indicadores de comprometimento |
| Inteligência contra ameaças – Carregar indicadores de comprometimento (V2) (versão prévia) |
Carregue indicadores em massa usando a API de Indicadores de Upload de Inteligência contra Ameaças. |
| Inteligência contra ameaças – Carregar objetos STIX (versão prévia) |
Carregue objetos STIX em massa usando a API de Upload de Inteligência contra Ameaças. |
| Listas de observação – Excluir um item de watchlist |
Listas de observação – Excluir um item de watchlist |
| Marcar uma tarefa como concluída |
Marcar uma tarefa como concluída |
| Obter incidente |
Obter um incidente por ID do ARM |
| Remover alerta do incidente |
Remova um alerta de um incidente existente. |
| Remover rótulos do incidente (preterido) [PRETERIDO] |
Remove rótulos para incidente selecionado |
| Watchlists – Adicionar um novo item de watchlist |
Watchlists – Adicionar um novo item de watchlist |
| Watchlists – Atualizar um item de watchlist existente |
Watchlists – Atualizar um item de watchlist existente |
| Watchlists – Criar uma nova watchlist com dados (Conteúdo Bruto) |
Watchlists – Criar uma nova watchlist com dados (Conteúdo Bruto) |
| Watchlists – Criar uma nova watchlist com dados (Conteúdo Bruto) (V2) |
Watchlists – Criar uma nova watchlist com dados (Conteúdo Bruto) (V2) |
| Watchlists – Criar uma watchlist grande usando um Uri de SAS (V2) |
Watchlists – Criar uma watchlist grande usando um Uri de SAS (V2) |
| Watchlists – Criar uma watchlist grande usando um Uri sas |
Watchlists – Criar uma watchlist grande usando um Uri sas |
| Watchlists – Excluir um item de watchlist (V2) |
Watchlists – Excluir um item de watchlist (V2) |
| Watchlists – Excluir uma watchlist |
Watchlists – Excluir uma watchlist |
| Watchlists – Excluir uma watchlist (V2) |
Exclui uma determinada Watchlist por alias. |
| Watchlists – Obter todos os itens da watchlist para uma determinada watchlist |
Watchlists – Obter todos os itens da watchlist para uma determinada watchlist |
| Watchlists – Obter todos os itens da watchlist para uma determinada watchlist (V2) |
Watchlists – Obter todos os itens da watchlist para uma determinada watchlist (V2) |
| Watchlists – Obter um item de watchlist por ID (guid) |
Listas de observação – Obter um item de watchlist |
| Watchlists – Obter uma watchlist por alias |
Watchlists – Obter uma watchlist por alias |
Adicionar alerta ao incidente
Adicione um alerta a um incidente existente. O alerta une o incidente como qualquer outro alerta e será mostrado no portal.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM do incidente
|
incidentArmId | True | string |
ID do ARM do incidente. Recuperar do gatilho de incidente, Alerta – Obter ação de incidente ou consulta de Logs do Azure Monitor. |
|
ID de Alerta do Sistema
|
relatedResourceId | True | string |
ID de alerta do sistema que será adicionada/removida para/do incidente. Recuperar da consulta de Logs do Azure Monitor ou gatilho de alerta. Por exemplo: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Retornos
Representa uma relação de incidente
- Corpo
- IncidentRelation
Adicionar comentário ao incidente (V2)
Adiciona comentário ao incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
Especificar comentário
|
Value | True | string |
Valor do comentário |
Retornos
- response
- string
Adicionar comentário ao incidente (V3)
Adiciona comentário ao incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM do incidente
|
incidentArmId | True | string |
ID do ARM do incidente |
|
Mensagem de comentário de incidente
|
message | True | html |
Mensagem de comentário de incidente |
Retornos
Representa um item de comentário de incidente
- Comentário sobre incidentes
- IncidentComment
Adicionar comentário ao incidente [PRETERIDO]
Esta ação foi preterida. Em vez disso, use Adicionar comentário ao incidente (V3 ).
Adiciona comentário ao incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
Especificar comentário de incidente
|
comment | True | string |
Comentário sobre incidentes |
Retornos
- response
- string
Adicionar rótulos a incidentes (preteridos) [PRETERIDO]
Adiciona rótulos ao incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
etiqueta
|
Label | True | string |
etiqueta |
Retornos
- response
- string
Adicionar tarefa a incidentes
Adiciona uma tarefa a um incidente existente
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM do incidente
|
incidentArmId | True | string |
ID do ARM do incidente |
|
Title
|
taskTitle | True | string |
Título da tarefa |
|
Description
|
taskDescription | html |
Descrição da tarefa |
Retornos
Representa um item de tarefa de incidente
- Tarefa de incidente
- IncidentTask
Alerta – Obter incidente
Retorna o incidente associado ao alerta selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar id de alerta
|
alertId | True | string |
ID de Alerta do Sistema |
Retornos
Representa um incidente no Azure Security Insights.
- Corpo
- Incident
Alerta – Obter incidente
Retorna o incidente associado ao alerta selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar id de alerta
|
alertId | True | string |
ID de alerta do sistema |
Retornos
- Corpo
- OldIncident
Alterar a gravidade do incidente (preterido) [PRETERIDO]
altera a gravidade do incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
Especificar severidade
|
severity | True | string |
Valor de severidade |
Retornos
- response
- string
Alterar descrição do incidente (V2) (preterido) [PRETERIDO]
altera a descrição do incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
Especificar descrição
|
Value | True | string |
Valor da descrição |
Retornos
- response
- string
Alterar descrição do incidente [PRETERIDO]
altera a descrição do incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
Especificar descrição
|
fieldValue | True | string |
Valor da descrição |
Retornos
- response
- string
Alterar o status do incidente (preterido) [PRETERIDO]
altera o status do incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
Especificar status
|
status | True | string |
Valor do status |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Esquema dinâmico do alterador de status de incidente |
Retornos
- response
- string
Alterar o título do incidente (V2) (preterido) [PRETERIDO]
altera o título do incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
Especificar título
|
Value | True | string |
Valor do título |
Retornos
- response
- string
Alterar o título do incidente [PRETERIDO]
altera o título do incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
Especificar título
|
fieldValue | True | string |
Valor do título |
Retornos
- response
- string
Atualizar incidente
Atualizar incidente com campos fornecidos
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar campos de incidentes a serem atualizados
|
body | True | dynamic |
Campos de incidente a serem atualizados |
Retornos
Representa um incidente no Azure Security Insights.
- Corpo
- Incident
Cancelamento da assinatura do gatilho ASI [PRETERIDO]
Criar incidente
Criar incidente com campos fornecidos
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Selecionar uma assinatura |
|
Grupo de Recursos
|
resourceGroup | True | string |
Selecionar grupo de recursos |
|
Nome do workspace
|
workspaceName | True | string |
Selecionar Workspace |
|
Especificar campos de incidente
|
body | True | dynamic |
Campos de incidentes |
Retornos
Representa um incidente no Azure Security Insights.
- Corpo
- Incident
Entidades – Obter contas
Retorna a lista de contas associadas ao alerta
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Retornos
Uma lista de contas associadas ao alerta
- Corpo
- BatchResponseAccount
Entidades – Obter DNS
Retorna a lista de registros DNS associados ao alerta
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Retornos
Uma lista de domínios DNS associados ao alerta
- Corpo
- BatchResponseDNS
Entidades – Obter FileHashes
Retorna a lista de Hashes de Arquivo associados ao alerta
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Retornos
Uma lista de Hashes de Arquivo associados ao alerta
- Corpo
- BatchResponseFileHash
Entidades – Obter hosts
Retorna a lista de hosts associados ao alerta
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Retornos
Uma lista de hosts associados ao alerta
- Corpo
- BatchResponseHost
Entidades – Obter IPs
Retorna a lista de IPs associados ao alerta
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Retornos
Uma lista de IPs associados ao alerta
- Corpo
- BatchResponseIP
Entidades – Obter URLs
Retorna a lista de URLs associadas ao alerta
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Retornos
Uma lista de URLs associadas ao alerta
- Corpo
- BatchResponseUrl
Indicadores (V2) – Criar um novo indicador (entrada json) (versão prévia)
Indicadores (V2) – Criar um novo indicador válido (json).
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Nome de Exibição do Indicador
|
displayName | True | string |
O nome a apresentar do marcador |
|
Consulta de indicador
|
bookmarkQuery | True | string |
Consulta de indicador (Ex. 'SecurityEvent | onde TimeGenerated > ago(1d) e TimeGenerated < ago(2d)') |
|
Resultado da consulta de indicador
|
bookmarkQueryResult | True | string |
Resultado da consulta de indicador (ex. 'Resultado da consulta de evento de segurança') |
|
Anotações de indicador
|
bookmarkNotes | string |
Anotações de indicador (ex. 'Minhas anotações de indicador') |
Retornos
Representa um indicador no Azure Security Insights.
- Corpo
- Bookmark
Indicadores (V3) – Cria um novo indicador com campos separados (versão prévia)
Indicadores (V3) – Criar um novo indicador.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar o nome de exibição do indicador
|
bookmarkName | True | string |
Nome de exibição do indicador (ex. 'My Bookmark') |
|
Especificar consulta de indicador
|
bookmarkQuery | True | string |
Consulta de indicador (Ex. 'SecurityEvent | onde TimeGenerated > ago(1d) e TimeGenerated < ago(2d)') |
|
Especificar o resultado da consulta de indicador
|
bookmarkQueryResult | True | string |
Resultado da consulta de indicador (ex. 'Resultado da consulta de evento de segurança') |
|
Especificar anotações de indicador
|
bookmarkNotes | True | string |
Anotações de indicador (ex. 'Minhas anotações de indicador') |
Retornos
Representa um indicador no Azure Security Insights.
- Corpo
- Bookmark
Indicadores – Cria um novo indicador (versão prévia)
Indicadores – Cria um novo indicador.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar a ID do Indicador
|
bookmarkId | True | string |
ID do Indicador |
|
criadas
|
created | date-time |
A hora em que o indicador foi criado |
|
|
email
|
string |
O email do usuário. |
||
|
nome
|
name | string |
O nome do usuário. |
|
|
objectId
|
objectId | uuid |
A ID do objeto do usuário. |
|
|
nome de exibição
|
displayName | True | string |
O nome a apresentar do marcador |
|
labels
|
labels | string |
Rótulo que será usado para marcar e filtrar. |
|
|
notas
|
notes | string |
As anotações do indicador |
|
|
consulta
|
query | True | string |
A consulta do indicador. |
|
queryResult
|
queryResult | string |
O resultado da consulta do indicador. |
|
|
atualizado
|
updated | date-time |
A última vez que o indicador foi atualizado |
|
|
hora do evento
|
eventTime | date-time |
A hora do evento do indicador |
|
|
queryStartTime
|
queryStartTime | date-time |
A hora de início da consulta |
|
|
queryEndTime
|
queryEndTime | date-time |
A hora de término da consulta |
|
|
ID do ARM do incidente
|
id | string |
A ID do ARM totalmente qualificada do incidente. |
|
|
Nome do ARM do incidente
|
name | string |
O nome arm do incidente (GUID) |
|
|
Contagem de alertas de incidentes
|
alertsCount | integer |
O número de alertas no incidente |
|
|
Contagem de indicadores de incidentes
|
bookmarksCount | integer |
O número de indicadores no incidente |
|
|
Contagem de comentários de incidentes
|
commentsCount | integer |
O número de comentários no incidente |
|
|
Nomes de produtos do Alerta de Incidente
|
alertProductNames | array of string |
Lista de nomes de produtos de alertas no incidente |
|
|
URL de Incidente do Provedor
|
providerIncidentUrl | string |
A URL do incidente no portal do Microsoft Defender |
|
|
Número de incidente mesclado
|
mergedIncidentNumber | string |
O número do incidente em que o incidente atual foi mesclado |
|
|
URL de Incidente Mesclado
|
mergedIncidentUrl | string |
A URL para o incidente em que o incidente atual foi mesclado |
|
|
Táticas de incidente
|
Incident Tactics | string |
Representa um item de tática associado ao incidente |
|
|
Técnicas de incidente
|
techniques | array of string |
As técnicas associadas às táticas do incidente |
|
|
Classificação de incidentes
|
classification | string |
A razão pela qual o incidente foi fechado |
|
|
Comentário de classificação de incidentes
|
classificationComment | string |
Descreve o motivo pelo qual o incidente foi fechado |
|
|
Motivo da classificação de incidentes
|
classificationReason | string |
O motivo de classificação com o qual o incidente foi fechado |
|
|
Hora De Criação de Incidente Utc
|
createdTimeUtc | date-time |
A hora em que o incidente foi criado |
|
|
Descrição do incidente
|
description | string |
A descrição do incidente |
|
|
Utc da hora da primeira atividade do incidente
|
firstActivityTimeUtc | date-time |
A hora da primeira atividade no incidente |
|
|
URL do incidente
|
incidentUrl | string |
A URL de link profundo para o incidente no portal do Azure |
|
|
ID de incidente do provedor
|
providerIncidentId | string |
A ID do incidente atribuída pelo provedor de incidentes |
|
|
Incident Sentinel ID
|
incidentNumber | integer |
Um número sequencial usado para identificar o incidente no Microsoft Sentinel. |
|
|
Hora da Última Atividade do Incidente UTC
|
lastActivityTimeUtc | date-time |
A hora da última atividade no incidente |
|
|
Gravidade do incidente
|
severity | string |
A gravidade do incidente |
|
|
Status do incidente
|
status | string |
O status do incidente |
|
|
Título do incidente
|
title | string |
O título do incidente |
|
|
Nome
|
labelName | True | string |
O nome da marca |
|
Tipo
|
labelType | string |
O tipo da marca |
|
|
Utc da hora da última modificação do incidente
|
lastModifiedTimeUtc | date-time |
A última vez que o incidente foi atualizado |
|
|
Email
|
string |
O email do usuário ao qual o incidente é atribuído. |
||
|
Atribuído a
|
assignedTo | string |
O nome do usuário ao qual o incidente é atribuído. (assignedTo field) |
|
|
IdentificadorDeObjeto
|
objectId | uuid |
A ID do objeto do usuário à qual o incidente é atribuído. |
|
|
Nome Principal do Usuário
|
userPrincipalName | string |
O nome principal do usuário ao qual o incidente é atribuído. |
|
|
IDs de regra analítica relacionadas a incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de IDs de recursos de regras de análise relacionadas ao incidente |
|
|
ID
|
id | string |
A ID do ARM totalmente qualificada do comentário. |
|
|
Nome
|
name | string |
O nome arm do comentário (GUID) |
|
|
propriedades
|
properties |
Representa as propriedades de comentário de incidente JSON. |
Retornos
Representa um indicador no Azure Security Insights.
- Corpo
- Bookmark
Indicadores – Excluir um indicador
Indicadores – Excluir um indicador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar a ID do Indicador
|
bookmarkId | True | string |
ID do Indicador |
Retornos
- response
- string
Indicadores – Obter todos os indicadores
Indicadores – Obter todos os indicadores para um determinado workspace
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar o número de indicadores
|
numberOfBookmarks | True | integer |
Número de Indicadores a serem retornados. 0 ou negativo para retornar todos os indicadores |
Retornos
Liste todos os indicadores.
- Corpo
- BookmarkList
Indicadores – Obter um indicador
Indicadores – Obter indicadores por Id
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar a ID do Indicador
|
bookmarkId | True | string |
ID do Indicador |
Retornos
Representa um indicador no Azure Security Insights.
- Corpo
- Bookmark
Inteligência contra ameaças – Carregar indicadores de comprometimento (preterido)
Inteligência contra ameaças – Carregar indicadores de comprometimento
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
Retornos
Resposta de indicadores uplaod de inteligência contra ameaças.
Inteligência contra ameaças – Carregar indicadores de comprometimento (V2) (versão prévia)
Carregue indicadores em massa usando a API de Indicadores de Upload de Inteligência contra Ameaças.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
Retornos
Resposta da API Uplaod de Inteligência contra Ameaças. Estes são erros para objetos inválidos no corpo da solicitação.
Inteligência contra ameaças – Carregar objetos STIX (versão prévia)
Carregue objetos STIX em massa usando a API de Upload de Inteligência contra Ameaças.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
Retornos
Resposta da API Uplaod de Inteligência contra Ameaças. Estes são erros para objetos inválidos no corpo da solicitação.
Listas de observação – Excluir um item de watchlist
Listas de observação – Excluir um item de watchlist
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
|
Especificar a ID do item da lista de inspeção
|
watchlistItemId | True | string |
Identificador exclusivo para um GUID (item de watchlist) |
Retornos
- response
- string
Marcar uma tarefa como concluída
Marcar uma tarefa como concluída
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM da tarefa
|
taskArmId | True | string |
ID do ARM da tarefa |
Retornos
Representa um item de tarefa de incidente
- Tarefa de incidente
- IncidentTask
Obter incidente
Obter um incidente por ID do ARM
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM do incidente
|
incidentArmId | True | string |
ID do ARM do incidente |
Retornos
Representa um incidente no Azure Security Insights.
- Corpo
- Incident
Remover alerta do incidente
Remova um alerta de um incidente existente.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM do incidente
|
incidentArmId | True | string |
ID do ARM do incidente. Recuperar do gatilho de incidente, Alerta – Obter ação de incidente ou consulta de Logs do Azure Monitor. |
|
ID de Alerta do Sistema
|
relatedResourceId | True | string |
ID de alerta do sistema que será adicionada/removida para/do incidente. Recuperar da consulta de Logs do Azure Monitor ou gatilho de alerta. Por exemplo: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Retornos
- response
- string
Remover rótulos do incidente (preterido) [PRETERIDO]
Remove rótulos para incidente selecionado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Identificador
|
identifier | True | string |
Incidente/alerta |
|
Especificar alerta/incidente
|
id | True | string |
Forneça o número do incidente/id de alerta |
|
etiqueta
|
Label | True | string |
etiqueta |
Retornos
- response
- string
Watchlists – Adicionar um novo item de watchlist
Watchlists – Adicionar um novo item de watchlist
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Retornos
Representa um WatchlistItem no Azure Security Insights.
- Corpo
- WatchlistItem
Watchlists – Atualizar um item de watchlist existente
Watchlists – Atualizar um item de watchlist existente
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
|
Especificar a ID do item da lista de inspeção
|
watchlistItemId | True | string |
Identificador exclusivo para um GUID (item de watchlist) |
Retornos
Representa um WatchlistItem no Azure Security Insights.
- Corpo
- WatchlistItem
Watchlists – Criar uma nova watchlist com dados (Conteúdo Bruto)
Watchlists – Criar uma nova watchlist com dados (Conteúdo Bruto)
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Retornos
Representa uma watchlist no Azure Security Insights.
- Corpo
- Watchlist
Watchlists – Criar uma nova watchlist com dados (Conteúdo Bruto) (V2)
Watchlists – Criar uma nova watchlist com dados (Conteúdo Bruto) (V2)
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Retornos
Representa uma watchlist no Azure Security Insights.
- Corpo
- WatchlistV2
Watchlists – Criar uma watchlist grande usando um Uri de SAS (V2)
Watchlists – Criar uma watchlist grande usando um Uri de SAS (V2)
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Retornos
Representa uma watchlist no Azure Security Insights.
- Corpo
- WatchlistV2
Watchlists – Criar uma watchlist grande usando um Uri sas
Watchlists – Criar uma watchlist grande usando um Uri sas
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Retornos
Representa uma watchlist no Azure Security Insights.
- Corpo
- Watchlist
Watchlists – Excluir um item de watchlist (V2)
Watchlists – Excluir um item de watchlist (V2)
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
|
Especificar a ID do item da lista de inspeção
|
watchlistItemId | True | string |
Identificador exclusivo para um GUID (item de watchlist) |
Retornos
- response
- string
Watchlists – Excluir uma watchlist
Watchlists – Excluir uma watchlist
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Retornos
- response
- string
Watchlists – Excluir uma watchlist (V2)
Exclui uma determinada Watchlist por alias.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Watchlists – Obter todos os itens da watchlist para uma determinada watchlist
Watchlists – Obter todos os itens da watchlist para uma determinada watchlist
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Retornos
Listar todos os itens da lista de observação.
- response
- WatchlistItemList
Watchlists – Obter todos os itens da watchlist para uma determinada watchlist (V2)
Watchlists – Obter todos os itens da watchlist para uma determinada watchlist (V2)
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
|
Ignorar Token
|
skipToken | string |
Ignorar token para o próximo conjunto de 100 itens a serem retornados |
Retornos
Listar todos os itens da lista de observação.
- response
- WatchlistItemList
Watchlists – Obter um item de watchlist por ID (guid)
Listas de observação – Obter um item de watchlist
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
|
Especificar a ID do item da lista de inspeção
|
watchlistItemId | True | string |
Identificador exclusivo para um GUID (item de watchlist) |
Retornos
Representa um WatchlistItem no Azure Security Insights.
- Corpo
- WatchlistItem
Watchlists – Obter uma watchlist por alias
Watchlists – Obter uma watchlist por alias
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Especificar id de assinatura
|
subscriptionId | True | string |
ID da assinatura |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar id do workspace
|
workspaceId | True | string |
ID do workspace |
|
Especificar alias de watchlist
|
watchlistAlias | True | string |
Alias da watchlist |
Retornos
Representa uma watchlist no Azure Security Insights.
- Corpo
- Watchlist
Gatilhos
| Alerta do Microsoft Sentinel |
Quando uma resposta a um alerta do Microsoft Sentinel é disparada. Esse guia estratégico é disparado por uma regra de análise quando um novo alerta é criado ou por gatilho manual. O guia estratégico recebe o alerta como sua entrada. |
| Entidade do Microsoft Sentinel |
Executar guia estratégico na entidade do Microsoft Sentinel |
| Incidente do Microsoft Sentinel |
Quando uma resposta a um incidente do Microsoft Sentinel é disparada. Esse guia estratégico é disparado por uma regra de automação quando um novo incidente é criado ou atualizado. O guia estratégico recebe o incidente do Microsoft Sentinel como entrada, incluindo alertas e entidades. |
| Quando uma resposta a um alerta do Microsoft Sentinel é disparada [PRETERIDO] |
Quando uma resposta a um alerta do Microsoft Sentinel é disparada. Este guia estratégico deve ser disparado usando o Microsoft Sentinel em Tempo Real ou do Azure |
Alerta do Microsoft Sentinel
Quando uma resposta a um alerta do Microsoft Sentinel é disparada. Esse guia estratégico é disparado por uma regra de análise quando um novo alerta é criado ou por gatilho manual. O guia estratégico recebe o alerta como sua entrada.
Retornos
- Corpo
- Alert
Entidade do Microsoft Sentinel
Executar guia estratégico na entidade do Microsoft Sentinel
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Tipo de entidade
|
entityType | True | string |
Tipo de entidade |
Retornos
Incidente do Microsoft Sentinel
Quando uma resposta a um incidente do Microsoft Sentinel é disparada. Esse guia estratégico é disparado por uma regra de automação quando um novo incidente é criado ou atualizado. O guia estratégico recebe o incidente do Microsoft Sentinel como entrada, incluindo alertas e entidades.
Retornos
Quando uma resposta a um alerta do Microsoft Sentinel é disparada [PRETERIDO]
Quando uma resposta a um alerta do Microsoft Sentinel é disparada. Este guia estratégico deve ser disparado usando o Microsoft Sentinel em Tempo Real ou do Azure
Retornos
- Corpo
- Alert
Definições
UploadApiValidationErrors
Resposta da API Uplaod de Inteligência contra Ameaças. Estes são erros para objetos inválidos no corpo da solicitação.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
Resposta de indicadores uplaod de inteligência contra ameaças.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Uma lista de contas associadas ao alerta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Uma lista de contas associadas ao alerta |
Conta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome
|
Name | string |
Nome da conta |
|
Domínio NT
|
NTDomain | string |
Nome de domínio NETBIOS como ele aparece no formato de alerta |
|
DnsDomain
|
DnsDomain | string |
O nome DNS de domínio totalmente qualificado |
|
Sufixo UPN
|
UPNSuffix | string |
Sufixo de nome de entidade de usuário |
|
SID
|
Sid | string |
Identificador de segurança da conta, por exemplo, S-1-5-18 |
|
ID do locatário do Microsoft Entra ID
|
AadTenantId | string |
ID do locatário do Microsoft Entra ID, se conhecida |
|
ID de usuário do Microsoft Entra ID
|
AadUserId | string |
ID de usuário do Microsoft Entra ID, se conhecida |
|
PUID
|
PUID | string |
A ID de usuário do Microsoft Entra ID Passport, se conhecida |
|
É ingressado no domínio
|
IsDomainJoined | boolean |
Determina se essa é uma conta de domínio |
|
ObjectGuid
|
ObjectGuid | string |
O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pela ID do Microsoft Entra |
BatchResponseUrl
Uma lista de URLs associadas ao alerta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
URLs
|
URLs | array of UrlEntity |
Uma lista de URLs associadas ao alerta |
UrlEntity
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
URL
|
Url | string |
BatchResponseHost
Uma lista de hosts associados ao alerta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Uma lista de hosts associados ao alerta |
Host
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Domínio DNS
|
DnsDomain | string |
Domínio DNS ao qual este host pertence |
|
Domínio NT
|
NTDomain | string |
Domínio NT ao qual este host pertence |
|
Hostname
|
HostName | string |
Nome do host sem o sufixo de domínio |
|
NetBiosName
|
NetBiosName | string |
O nome do host (pré-windows2000) |
|
OMSAgentID
|
OMSAgentID | string |
A ID do agente do OMS, se o host tiver o agente do OMS instalado |
|
OSFamily
|
OSFamily | string |
Um dos seguintes valores: Linux, Windows, Android, IOS |
|
Versão do SO
|
OSVersion | string |
Uma representação de texto livre do sistema operacional |
|
É ingressado no domínio
|
IsDomainJoined | boolean |
Determina se esse host pertence a um domínio |
|
AzureID
|
AzureID | string |
A ID de recurso do azure da VM, se conhecida |
BatchResponseIP
Uma lista de IPs associados ao alerta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Ips
|
IPs | array of IP |
Uma lista de IPs associados ao alerta |
IP
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Endereço
|
Address | string |
endereço IP |
BatchResponseDNS
Uma lista de domínios DNS associados ao alerta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Domínios DNS
|
Dnsresolutions | array of DNS |
Uma lista de domínios DNS associados ao alerta |
DNS
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome de domínio
|
DomainName | string |
O nome do registro DNS associado ao alerta |
BatchResponseFileHash
Uma lista de Hashes de Arquivo associados ao alerta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
Uma lista de Hashes de Arquivo associados ao alerta |
FileHash
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Value
|
Value | string |
Valor do hash do arquivo |
|
Algoritmo
|
Algorithm | string |
Os tipos de algoritmo de hash de arquivo |
OldIncident
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
propriedades
|
properties | OldIncidentProperties |
OldIncidentProperties
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Situação
|
Status | string |
O status do incidente |
|
Rótulos
|
Labels | array of |
Os rótulos do incidente |
|
Title
|
Title | string |
O título do incidente |
|
Description
|
Description | string |
A descrição do incidente |
|
Hora de Término Utc
|
EndTimeUtc | string |
A hora em que o incidente terminou |
|
Hora de Início Utc
|
StartTimeUtc | string |
A hora de início do incidente |
|
Hora da Última Atualização Utc
|
LastUpdatedTimeUtc | string |
A hora de atualização do incidente |
|
Número
|
CaseNumber | string |
O número do incidente |
|
Tempo De Criação Utc
|
CreatedTimeUtc | string |
A hora em que o incidente foi criado |
|
Severity
|
Severity | string |
A gravidade do incidente |
|
IDs de alerta relacionadas
|
RelatedAlertIds | array of |
As IDs de alerta relacionadas do incidente |
IncidentAdditionalData
Recipiente de propriedades de dados adicionais de incidentes.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de alertas de incidentes
|
alertsCount | integer |
O número de alertas no incidente |
|
Contagem de indicadores de incidentes
|
bookmarksCount | integer |
O número de indicadores no incidente |
|
Contagem de comentários de incidentes
|
commentsCount | integer |
O número de comentários no incidente |
|
Nomes de produtos do Alerta de Incidente
|
alertProductNames | array of string |
Lista de nomes de produtos de alertas no incidente |
|
URL de Incidente do Provedor
|
providerIncidentUrl | string |
A URL do incidente no portal do Microsoft Defender |
|
Número de incidente mesclado
|
mergedIncidentNumber | string |
O número do incidente em que o incidente atual foi mesclado |
|
URL de Incidente Mesclado
|
mergedIncidentUrl | string |
A URL para o incidente em que o incidente atual foi mesclado |
|
Táticas de incidente
|
tactics | array of AttackTactic |
As táticas associadas ao incidente |
|
Técnicas de incidente
|
techniques | array of string |
As técnicas associadas às táticas do incidente |
IncidentLabel
Representa uma marca de incidente
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome
|
labelName | string |
O nome da marca |
|
Tipo
|
labelType | string |
O tipo da marca |
IncidentOwnerInfo
Informações sobre o usuário às quais um incidente é atribuído
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Email
|
string |
O email do usuário ao qual o incidente é atribuído. |
|
|
Atribuído a
|
assignedTo | string |
O nome do usuário ao qual o incidente é atribuído. (assignedTo field) |
|
IdentificadorDeObjeto
|
objectId | uuid |
A ID do objeto do usuário à qual o incidente é atribuído. |
|
Nome Principal do Usuário
|
userPrincipalName | string |
O nome principal do usuário ao qual o incidente é atribuído. |
AttackTactic
Representa um item de tática associado ao incidente
Representa um item de tática associado ao incidente
AlertSeverity
HuntingBookmark
Representa um item de indicador de busca
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ARM ID
|
id | string |
A ID do ARM qualificada completa do indicador. |
|
Nome do ARM
|
name | string |
O nome ARM do indicador (GUID) |
|
propriedades
|
properties | HuntingBookmarkProperties |
Representa as propriedades de HuntingBookmark JSON. |
Alerta de Segurança
Representa um item de alerta de segurança
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ARM ID
|
id | string |
A ID do ARM totalmente qualificada do alerta. |
|
Nome do ARM
|
name | string |
O nome ARM do alerta (GUID) |
|
propriedades
|
properties | SecurityAlertProperties |
Representa as propriedades de alerta JSON. |
HuntingBookmarkProperties
Representa as propriedades de HuntingBookmark JSON.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome de Exibição
|
displayName | string |
O nome a apresentar do marcador |
|
Criado
|
created | date-time |
A hora criada do indicador |
|
Atualizado
|
updated | date-time |
A hora atualizada do indicador |
|
Criado por informações do usuário
|
createdBy | CreatedByUserInfo |
Representa o JSON das propriedades UserInfo. |
|
Atualizado por informações do usuário
|
updatedBy | UpdatedByUserInfo |
Representa o JSON das propriedades UserInfo. |
|
Hora do evento
|
eventTime | date-time |
A hora do evento do indicador |
|
Anotações
|
notes | string |
As anotações do indicador |
|
Rótulos
|
labels | array of string |
Os rótulos do indicador |
|
Query
|
query | string |
A consulta do indicador |
|
Resultado da consulta
|
queryResult | string |
O resultado da consulta do indicador |
SecurityAlertProperties
Representa as propriedades de alerta JSON.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome amigável
|
friendlyName | string |
O nome de exibição do item de grafo que é uma breve descrição humanamente legível da instância do item de grafo. Essa propriedade é opcional e pode ser gerada pelo sistema. |
|
Nome de Exibição
|
alertDisplayName | string |
O nome de exibição do alerta |
|
Tipo
|
alertType | string |
No alerta de agendamento, essa é a ID da regra de análise. |
|
URI
|
alertLink | string |
Este é o link para o alerta no fornecedor orignal. |
|
Entidade comprometida
|
compromisedEntity | string |
Nome de exibição da entidade principal que está sendo reportada. |
|
Nível de Confiança
|
confidenceLevel | string |
O nível de confiança desse alerta. |
|
Description
|
description | string |
A descrição do alerta. |
|
Hora de Término UTC
|
endTimeUtc | date-time |
A hora de término do impacto do alerta (a hora do último evento contribuindo para o alerta). |
|
ID do provedor
|
providerAlertId | string |
O identificador do alerta dentro do produto que gerou o alerta. |
|
Nome do Produto
|
productName | string |
O nome do produto que publicou esse alerta. |
|
Etapas de remeditação
|
remediationSteps | array of string |
Lista de itens de ação manuais a serem tomadas para corrigir o alerta. |
|
Severity
|
severity | AlertSeverity |
A gravidade do alerta |
|
Hora de Início
|
startTimeUtc | date-time |
A hora de início do impacto do alerta (a hora do primeiro evento contribuindo para o alerta). |
|
Situação
|
status | string |
O status do ciclo de vida do alerta. |
|
ID do sistema
|
systemAlertId | string |
Contém o identificador do produto do alerta para o produto. |
|
Táticas
|
tactics | array of AttackTactic |
Lista das táticas de alerta. |
|
Hora da geração
|
timeGenerated | date-time |
A hora em que o alerta foi gerado. |
|
Query
|
additionalData.Query | string |
A consulta usada para decidir se o alerta deve ser disparado (Somente agendar alerta). |
|
Hora de início da consulta
|
additionalData.Query Start Time UTC | string |
A hora de início da consulta usada para decidir se o alerta deve ser disparado (Somente agendar alerta). |
|
Hora de Término da Consulta
|
additionalData.Query End Time UTC | string |
A hora de início da consulta usada para decidir se o alerta deve ser disparado (Somente agendar alerta). |
|
Operador de consulta
|
additionalData.Trigger Operator | string |
O operador usado para decidir se o alerta deve ser disparado (Somente agendar alerta). |
|
Limite de consulta
|
additionalData.Trigger Threshold | string |
O limite usado para decidir se o alerta deve ser disparado (Somente agendar alerta). |
|
Detalhes Personalizados
|
additionalData.Custom Details | string |
Detalhes de eventos personalizados adicionados ao alerta pelas regras de análise (somente alertas agendados). Para usar esse campo, siga a ação "Analisar JSON" e use um conteúdo de exemplo do alerta existente para simular o esquema. |
|
Identificadores de recursos
|
resourceIdentifiers | array of object |
Os identificadores de recurso do alerta |
|
items
|
resourceIdentifiers | object |
Representa um identificador de recurso de alerta. |
Incidente
Representa um incidente no Azure Security Insights.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do ARM do incidente
|
id | string |
A ID do ARM totalmente qualificada do incidente. |
|
Nome do ARM do incidente
|
name | string |
O nome arm do incidente (GUID) |
|
propriedades
|
properties | IncidentProperties |
Representa as propriedades de incidente JSON. |
FullIncident
Obter um incidente por ID do ARM
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do ARM do incidente
|
id | string |
A ID do ARM totalmente qualificada do incidente. |
|
Nome do ARM do incidente
|
name | string |
O nome arm do incidente (GUID) |
|
propriedades
|
properties | FullIncidentProperties |
Representa as propriedades de incidente JSON. |
IncidentProperties
Representa as propriedades de incidente JSON.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Dados adicionais
|
additionalData | IncidentAdditionalData |
Recipiente de propriedades de dados adicionais de incidentes. |
|
Classificação de incidentes
|
classification | string |
A razão pela qual o incidente foi fechado |
|
Comentário de classificação de incidentes
|
classificationComment | string |
Descreve o motivo pelo qual o incidente foi fechado |
|
Motivo da classificação de incidentes
|
classificationReason | string |
O motivo de classificação com o qual o incidente foi fechado |
|
Hora De Criação de Incidente Utc
|
createdTimeUtc | date-time |
A hora em que o incidente foi criado |
|
Descrição do incidente
|
description | string |
A descrição do incidente |
|
Utc da hora da primeira atividade do incidente
|
firstActivityTimeUtc | date-time |
A hora da primeira atividade no incidente |
|
URL do incidente
|
incidentUrl | string |
A URL de link profundo para o incidente no portal do Azure |
|
ID de incidente do provedor
|
providerIncidentId | string |
A ID do incidente atribuída pelo provedor de incidentes |
|
Incident Sentinel ID
|
incidentNumber | integer |
Um número sequencial usado para identificar o incidente no Microsoft Sentinel. |
|
Hora da Última Atividade do Incidente UTC
|
lastActivityTimeUtc | date-time |
A hora da última atividade no incidente |
|
Gravidade do incidente
|
severity | string |
A gravidade do incidente |
|
Status do incidente
|
status | string |
O status do incidente |
|
Título do incidente
|
title | string |
O título do incidente |
|
Marcas de incidente
|
labels | array of IncidentLabel |
Lista de marcas associadas a este incidente |
|
Utc da hora da última modificação do incidente
|
lastModifiedTimeUtc | date-time |
A última vez que o incidente foi atualizado |
|
Proprietário do incidente
|
owner | IncidentOwnerInfo |
Informações sobre o usuário às quais um incidente é atribuído |
|
IDs de regra analítica relacionadas a incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de IDs de recursos de regras de análise relacionadas ao incidente |
|
Comments
|
Comments | array of IncidentComment |
Lista de comentários sobre este incidente. |
FullIncidentProperties
Representa as propriedades de incidente JSON.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Dados adicionais
|
additionalData | IncidentAdditionalData |
Recipiente de propriedades de dados adicionais de incidentes. |
|
Classificação de incidentes
|
classification | string |
A razão pela qual o incidente foi fechado |
|
Comentário de classificação de incidentes
|
classificationComment | string |
Descreve o motivo pelo qual o incidente foi fechado |
|
Motivo da classificação de incidentes
|
classificationReason | string |
O motivo de classificação com o qual o incidente foi fechado |
|
Hora De Criação de Incidente Utc
|
createdTimeUtc | date-time |
A hora em que o incidente foi criado |
|
Descrição do incidente
|
description | string |
A descrição do incidente |
|
Utc da hora da primeira atividade do incidente
|
firstActivityTimeUtc | date-time |
A hora da primeira atividade no incidente |
|
URL do incidente
|
incidentUrl | string |
A URL de link profundo para o incidente no portal do Azure |
|
ID de incidente do provedor
|
providerIncidentId | string |
A ID do incidente atribuída pelo provedor de incidentes |
|
Incident Sentinel ID
|
incidentNumber | integer |
Um número sequencial usado para identificar o incidente no Microsoft Sentinel. |
|
Hora da Última Atividade do Incidente UTC
|
lastActivityTimeUtc | date-time |
A hora da última atividade no incidente |
|
Gravidade do incidente
|
severity | string |
A gravidade do incidente |
|
Status do incidente
|
status | string |
O status do incidente |
|
Título do incidente
|
title | string |
O título do incidente |
|
Marcas de incidente
|
labels | array of IncidentLabel |
Lista de marcas associadas a este incidente |
|
Utc da hora da última modificação do incidente
|
lastModifiedTimeUtc | date-time |
A última vez que o incidente foi atualizado |
|
Proprietário do incidente
|
owner | IncidentOwnerInfo |
Informações sobre o usuário às quais um incidente é atribuído |
|
IDs de regra analítica relacionadas a incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de IDs de recursos de regras de análise relacionadas ao incidente |
|
Comments
|
Comments | array of IncidentComment |
Lista de comentários sobre este incidente. |
|
Alerts
|
Alerts | array of SecurityAlert |
Lista de alertas relacionados a este incidente. |
|
Favoritos
|
Bookmarks | array of HuntingBookmark |
Lista de indicadores relacionados a este incidente. |
|
Entities
|
relatedEntities | string |
A lista de entidades relacionadas ao incidente pode conter entidades de diferentes tipos |
IncidentEventNotification
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Nomes de campo atualizados
|
incidentUpdates.updatedFields | array of string |
Os nomes dos campos atualizados no incidente |
|
Tempo de Atualização
|
incidentUpdates.updatedTime | date-time |
A hora do evento de atualização de incidentes |
|
Source
|
incidentUpdates.updatedBy.source | string |
O ator que atualizou o incidente: Usuário, aplicativo externo, guia estratégico, regra de automação, Microsoft 365 Defender ou Agrupamento de Alertas |
|
Nome
|
incidentUpdates.updatedBy.name | string |
O nome do usuário, aplicativo, regra de automação ou guia estratégico que atualizou o incidente |
|
Alertas de incidente
|
incidentUpdates.alerts | array of SecurityAlert |
Lista de alertas adicionados a este incidente. |
|
Marcas de incidente
|
incidentUpdates.labels | array of IncidentLabel |
Lista de marcas adicionadas a este incidente |
|
Comentários sobre incidentes
|
incidentUpdates.comments | array of IncidentComment |
Lista de comentários adicionados a este incidente. |
|
Táticas de incidente
|
incidentUpdates.tactics | array of AttackTactic |
As táticas associadas ao incidente |
|
ID da assinatura
|
workspaceInfo.SubscriptionId | string |
A ID da assinatura do workspace do Microsoft Sentinel |
|
Nome do Grupo de Recursos
|
workspaceInfo.ResourceGroupName | string |
O grupo de recursos do workspace do Microsoft Sentinel |
|
Nome do workspace
|
workspaceInfo.WorkspaceName | string |
O nome do workspace do Microsoft Sentinel |
|
ID do workspace
|
workspaceId | string |
A ID do workspace do incidente. |
|
objeto
|
object | FullIncident |
Obter um incidente por ID do ARM |
CreatedByUserInfo
Representa o JSON das propriedades UserInfo.
Representa o JSON das propriedades UserInfo.
UpdatedByUserInfo
Representa o JSON das propriedades UserInfo.
Representa o JSON das propriedades UserInfo.
Alerta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome do produto
|
ProductName | string |
Nome do produto que publicou este alerta |
|
Tipo de Alerta
|
AlertType | string |
Nome do tipo do alerta |
|
Hora de início (UTC)
|
StartTimeUtc | date-time |
Hora de início do alerta, quando o primeiro evento de contribuição foi detectado |
|
Hora de término (UTC)
|
EndTimeUtc | date-time |
Hora de término do alerta, quando o último evento de contribuição foi detectado |
|
Tempo gerado (UTC)
|
TimeGenerated | date-time |
A hora em que o alerta foi gerado |
|
Severity
|
Severity | string |
A gravidade do alerta conforme ele é relatado pelo provedor |
|
ID de alerta do provedor
|
ProviderAlertId | string |
ID exclusiva para a instância de alerta específica definida pelo provedor |
|
ID do alerta do sistema
|
SystemAlertId | string |
ID exclusiva para a instância de alerta específica |
|
Nome de exibição do alerta
|
AlertDisplayName | string |
Nome de exibição do alerta |
|
Description
|
Description | string |
Descrição do alerta |
|
Entities
|
Entities | string |
Uma lista de entidades relacionadas ao alerta pode incluir vários tipos de entidades |
|
Propriedades estendidas
|
ExtendedProperties | string |
Uma lista de campos que serão apresentados ao usuário |
|
ID do workspace
|
WorkspaceId | string |
A ID do workspace do alerta |
|
Grupo de recursos
|
WorkspaceResourceGroup | string |
grupo de recursos de alerta do alerta |
|
ID da assinatura
|
WorkspaceSubscriptionId | string |
A ID da assinatura do alerta |
|
Links estendidos
|
ExtendedLinks | array of object |
Uma lista de links relacionados ao alerta pode incluir vários tipos |
IncidentComment
Representa um item de comentário de incidente
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
A ID do ARM totalmente qualificada do comentário. |
|
Nome
|
name | string |
O nome arm do comentário (GUID) |
|
propriedades
|
properties | IncidentCommentProperties |
Representa as propriedades de comentário de incidente JSON. |
IncidentCommentProperties
Representa as propriedades de comentário de incidente JSON.
Representa as propriedades de comentário de incidente JSON.
IncidentTask
Representa um item de tarefa de incidente
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
A ID do ARM totalmente qualificada da tarefa. |
|
Nome
|
name | string |
O nome ARM da tarefa |
|
propriedades
|
properties | IncidentTaskProperties |
Representa as propriedades da tarefa de incidente. |
IncidentTaskProperties
Representa as propriedades da tarefa de incidente.
Representa as propriedades da tarefa de incidente.
IncidentRelation
Representa uma relação de incidente
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
A ID do ARM totalmente qualificada da relação de incidente. |
|
Nome
|
name | string |
O nome arm da relação de incidente |
|
propriedades
|
properties | IncidentRelationProperties |
Representa um JSON de propriedades de relação de incidentes. |
IncidentRelationProperties
Representa um JSON de propriedades de relação de incidentes.
Representa um JSON de propriedades de relação de incidentes.
Watchlist
Representa uma watchlist no Azure Security Insights.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
propriedades
|
properties | WatchlistProperties |
Descreve as propriedades da watchlist |
WatchlistV2
Representa uma watchlist no Azure Security Insights.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
propriedades
|
properties | WatchlistPropertiesV2 |
Descreve as propriedades da watchlist |
WatchlistProperties
Descreve as propriedades da watchlist
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
A ID (um Guid) da watchlist |
|
nome de exibição
|
displayName | string |
O nome de exibição da watchlist |
|
fornecedor
|
provider | string |
O provedor da watchlist |
|
fonte
|
source | string |
A origem da watchlist |
|
criadas
|
created | date-time |
A hora em que a watchlist foi criada |
|
atualizado
|
updated | date-time |
A última vez que a watchlist foi atualizada |
|
createdBy
|
createdBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
atualizadoPor
|
updatedBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
descrição
|
description | string |
Uma descrição da watchlist |
|
watchlistType
|
watchlistType | string |
O tipo da watchlist |
|
watchlistAlias
|
watchlistAlias | string |
O alias da watchlist |
|
isDeleted
|
isDeleted | boolean |
Um sinalizador que indica se a watchlist é excluída ou não |
|
labels
|
labels | array of Label |
Lista de rótulos relevantes para esta watchlist |
|
defaultDuration
|
defaultDuration | duration |
A duração padrão de uma watchlist (no formato de duração ISO 8601) |
|
tenantId
|
tenantId | string |
A tenantId à qual a watchlist pertence |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
O número de linhas em um conteúdo csv/tsv para ignorar antes do cabeçalho |
|
rawContent
|
rawContent | string |
O conteúdo bruto que representa os itens de watchlist a serem criados. No caso do tipo de conteúdo csv/tsv, é o conteúdo do arquivo que será analisado pelo ponto de extremidade |
|
itemsSearchKey
|
itemsSearchKey | string |
A chave de pesquisa é usada para otimizar o desempenho da consulta ao usar watchlists para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e use esse campo como o campo de chave ao ingressar em outros dados de evento por endereço IP. |
|
tipo de conteúdo
|
contentType | string |
O tipo de conteúdo do conteúdo bruto. Exemplo: text/csv ou text/tsv |
|
uploadStatus
|
uploadStatus | string |
O status do upload da Watchlist: Novo, InProgress ou Concluído. Observação de pls: quando um status de carregamento de watchlist é igual ao InProgress, a watchlist não pode ser excluída |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
O número de itens de watchlist na watchlist |
WatchlistPropertiesV2
Descreve as propriedades da watchlist
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
A ID (um Guid) da watchlist |
|
nome de exibição
|
displayName | string |
O nome de exibição da watchlist |
|
fornecedor
|
provider | string |
O provedor da watchlist |
|
fonte
|
source | string |
O nome do arquivo da watchlist, chamado 'source' |
|
sourceType
|
sourceType | string |
O sourceType da watchlist |
|
criadas
|
created | date-time |
A hora em que a watchlist foi criada |
|
atualizado
|
updated | date-time |
A última vez que a watchlist foi atualizada |
|
createdBy
|
createdBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
atualizadoPor
|
updatedBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
descrição
|
description | string |
Uma descrição da watchlist |
|
watchlistType
|
watchlistType | string |
O tipo da watchlist |
|
watchlistAlias
|
watchlistAlias | string |
O alias da watchlist |
|
isDeleted
|
isDeleted | boolean |
Um sinalizador que indica se a watchlist é excluída ou não |
|
labels
|
labels | array of Label |
Lista de rótulos relevantes para esta watchlist |
|
defaultDuration
|
defaultDuration | duration |
A duração padrão de uma watchlist (no formato de duração ISO 8601) |
|
tenantId
|
tenantId | string |
A tenantId à qual a watchlist pertence |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
O número de linhas em um conteúdo csv/tsv para ignorar antes do cabeçalho |
|
rawContent
|
rawContent | string |
O conteúdo bruto que representa os itens de watchlist a serem criados. No caso do tipo de conteúdo csv/tsv, é o conteúdo do arquivo que será analisado pelo ponto de extremidade |
|
itemsSearchKey
|
itemsSearchKey | string |
A chave de pesquisa é usada para otimizar o desempenho da consulta ao usar watchlists para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e use esse campo como o campo de chave ao ingressar em outros dados de evento por endereço IP. |
|
tipo de conteúdo
|
contentType | string |
O tipo de conteúdo do conteúdo bruto. Exemplo: text/csv ou text/tsv |
|
uploadStatus
|
uploadStatus | string |
O status do upload da Watchlist: Novo, InProgress ou Concluído. Observação de pls: quando um status de carregamento de watchlist é igual ao InProgress, a watchlist não pode ser excluída |
WatchlistItemList
WatchlistItem
Representa um WatchlistItem no Azure Security Insights.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
WatchlistItem Full ARM ID
|
id | string |
A ID totalmente qualificada do item de watchlist. |
|
ID Exclusiva do WatchlistItem
|
name | string |
Corresponde à ID de WatchlistItem (GUID) |
|
WatchlistItem etag
|
etag | string |
Corresponde à etag (GUID) |
|
Tipo watchlistItem
|
type | string |
Corresponde ao tipo WatchlistItem |
|
value
|
value | object |
Detalhes da entidade do item watchlist. |
Indicador
Representa um indicador no Azure Security Insights.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
propriedades
|
properties | BookmarkProperties |
Descreve as propriedades do indicador |
BookmarkList
Liste todos os indicadores.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
nextLink
|
nextLink | string |
URL para buscar o próximo conjunto de casos. |
|
value
|
value | array of Bookmark |
Matriz de indicadores. |
BookmarkProperties
Descreve as propriedades do indicador
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
criadas
|
created | date-time |
A hora em que o indicador foi criado |
|
createdBy
|
createdBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
nome de exibição
|
displayName | string |
O nome a apresentar do marcador |
|
labels
|
labels | array of Label |
Lista de rótulos relevantes para este indicador |
|
notas
|
notes | string |
As anotações do indicador |
|
consulta
|
query | string |
A consulta do indicador. |
|
queryResult
|
queryResult | string |
O resultado da consulta do indicador. |
|
atualizado
|
updated | date-time |
A última vez que o indicador foi atualizado |
|
atualizadoPor
|
updatedBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
hora do evento
|
eventTime | date-time |
A hora do evento do indicador |
|
queryStartTime
|
queryStartTime | date-time |
A hora de início da consulta |
|
queryEndTime
|
queryEndTime | date-time |
A hora de término da consulta |
|
incidentInfo
|
incidentInfo | Incident |
Representa um incidente no Azure Security Insights. |
Informações do usuário
Informações do usuário que fizeram alguma ação
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
email
|
string |
O email do usuário. |
|
|
nome
|
name | string |
O nome do usuário. |
|
objectId
|
objectId | uuid |
A ID do objeto do usuário. |
Etiqueta
cadeia
Esse é o tipo de dados básico 'string'.