Incidents - List
Obtém todos os incidentes.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}Parâmetros do URI
| Name | Em | Necessário | Tipo | Description |
|---|---|---|---|---|
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
O nome do grupo de recursos. O nome não diferencia maiúsculas de minúsculas. |
|
subscription
|
path | True |
string (uuid) |
A ID da assinatura de destino. O valor deve ser um UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
O nome do espaço de trabalho. |
|
api-version
|
query | True |
string minLength: 1 |
A versão da API a utilizar para esta operação. |
|
$filter
|
query |
string |
Filtra os resultados, com base em uma condição booleana. Opcional. |
|
|
$orderby
|
query |
string |
Classifica os resultados. Opcional. |
|
|
$skip
|
query |
string |
Skiptoken só é usado se uma operação anterior retornou um resultado parcial. Se uma resposta anterior contiver um elemento nextLink, o valor do elemento nextLink incluirá um parâmetro skiptoken que especifica um ponto de partida a ser usado para chamadas subsequentes. Opcional. |
|
|
$top
|
query |
integer (int32) maximum: 1000 |
Devolve apenas os primeiros n resultados. Opcional. |
Respostas
| Name | Tipo | Description |
|---|---|---|
| 200 OK |
OK, Operação concluída com êxito |
|
| Other Status Codes |
Resposta de erro descrevendo por que a operação falhou. |
Segurança
azure_auth
Azure Ative Directory OAuth2 Flow
Tipo:
oauth2
Fluxo:
implicit
URL de Autorização:
https://login.microsoftonline.com/common/oauth2/authorize
Âmbitos
| Name | Description |
|---|---|
| user_impersonation | personificar a sua conta de utilizador |
Exemplos
Get all incidents.
Pedido de amostra
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2025-09-01&$orderby=properties/createdTimeUtc desc&$top=1
Resposta da amostra
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}Definições
| Name | Description |
|---|---|
|
Attack |
A gravidade dos alertas criados por esta regra de alerta. |
|
Cloud |
Estrutura de resposta a erros. |
|
Cloud |
Detalhes do erro. |
|
created |
O tipo de identidade que criou o recurso. |
| Incident |
Representa um incidente no Azure Security Insights. |
|
Incident |
Incidente adicional de dados de propriedade bag. |
|
Incident |
O motivo pelo qual o incidente foi encerrado |
|
Incident |
O motivo da classificação do incidente foi encerrado com |
|
Incident |
Representa um rótulo de incidente |
|
Incident |
O tipo do rótulo |
|
Incident |
Listar todos os incidentes. |
|
Incident |
Informações sobre o usuário a quem um incidente é atribuído |
|
Incident |
A gravidade do incidente |
|
Incident |
O estado do incidente |
|
Owner |
O tipo de proprietário ao qual o incidente é atribuído. |
|
system |
Metadados referentes à criação e última modificação do recurso. |
AttackTactic
A gravidade dos alertas criados por esta regra de alerta.
| Valor | Description |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
Estrutura de resposta a erros.
| Name | Tipo | Description |
|---|---|---|
| error |
Dados de erro |
CloudErrorBody
Detalhes do erro.
| Name | Tipo | Description |
|---|---|---|
| code |
string |
Um identificador para o erro. Os códigos são invariantes e destinam-se a ser consumidos programaticamente. |
| message |
string |
Uma mensagem descrevendo o erro, destinada a ser adequada para exibição em uma interface do usuário. |
createdByType
O tipo de identidade que criou o recurso.
| Valor | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Incident
Representa um incidente no Azure Security Insights.
| Name | Tipo | Description |
|---|---|---|
| etag |
string |
Etag do recurso azure |
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
O nome do recurso |
| properties.additionalData |
Dados adicionais sobre o incidente |
|
| properties.classification |
O motivo pelo qual o incidente foi encerrado |
|
| properties.classificationComment |
string |
Descreve o motivo pelo qual o incidente foi encerrado |
| properties.classificationReason |
O motivo da classificação do incidente foi encerrado com |
|
| properties.createdTimeUtc |
string (date-time) |
A hora em que o incidente foi criado |
| properties.description |
string |
A descrição do incidente |
| properties.firstActivityTimeUtc |
string (date-time) |
A hora da primeira atividade no incidente |
| properties.incidentNumber |
integer (int32) |
Um número sequencial |
| properties.incidentUrl |
string |
A URL de link profundo para o incidente no portal do Azure |
| properties.labels |
Lista de rótulos relevantes para este incidente |
|
| properties.lastActivityTimeUtc |
string (date-time) |
A hora da última atividade no incidente |
| properties.lastModifiedTimeUtc |
string (date-time) |
A última vez que o incidente foi atualizado |
| properties.owner |
Descreve um usuário ao qual o incidente é atribuído |
|
| properties.providerIncidentId |
string |
A ID do incidente atribuída pelo provedor do incidente |
| properties.providerName |
string |
O nome do provedor de origem que gerou o incidente |
| properties.relatedAnalyticRuleIds |
string[] (arm-id) |
Lista de ids de recursos de regras analíticas relacionadas ao incidente |
| properties.severity |
A gravidade do incidente |
|
| properties.status |
O estado do incidente |
|
| properties.title |
string |
O título do incidente |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Incidente adicional de dados de propriedade bag.
| Name | Tipo | Description |
|---|---|---|
| alertProductNames |
string[] |
Lista de nomes de produtos de alertas no incidente |
| alertsCount |
integer (int32) |
O número de alertas no incidente |
| bookmarksCount |
integer (int32) |
O número de marcadores no incidente |
| commentsCount |
integer (int32) |
O número de comentários no incidente |
| providerIncidentUrl |
string |
A URL do incidente do provedor para o incidente no portal do Microsoft 365 Defender |
| tactics |
As táticas associadas ao incidente |
IncidentClassification
O motivo pelo qual o incidente foi encerrado
| Valor | Description |
|---|---|
| Undetermined |
A classificação dos incidentes foi indeterminada |
| TruePositive |
Incidente foi verdadeiramente positivo |
| BenignPositive |
O incidente foi benigno positivo |
| FalsePositive |
Incidente foi falso positivo |
IncidentClassificationReason
O motivo da classificação do incidente foi encerrado com
| Valor | Description |
|---|---|
| SuspiciousActivity |
O motivo da classificação foi atividade suspeita |
| SuspiciousButExpected |
O motivo da classificação era suspeito, mas esperado |
| IncorrectAlertLogic |
O motivo da classificação foi a lógica de alerta incorreta |
| InaccurateData |
O motivo da classificação foram dados imprecisos |
IncidentLabel
Representa um rótulo de incidente
| Name | Tipo | Description |
|---|---|---|
| labelName |
string |
O nome do rótulo |
| labelType |
O tipo do rótulo |
IncidentLabelType
O tipo do rótulo
| Valor | Description |
|---|---|
| User |
Etiqueta criada manualmente por um utilizador |
| AutoAssigned |
Etiqueta criada automaticamente pelo sistema |
IncidentList
Listar todos os incidentes.
| Name | Tipo | Description |
|---|---|---|
| nextLink |
string |
URL para buscar o próximo conjunto de incidentes. |
| value |
Incident[] |
Conjunto de incidentes. |
IncidentOwnerInfo
Informações sobre o usuário a quem um incidente é atribuído
| Name | Tipo | Description |
|---|---|---|
| assignedTo |
string |
O nome do usuário ao qual o incidente é atribuído. |
|
string |
O e-mail do usuário ao qual o incidente é atribuído. |
|
| objectId |
string (uuid) |
A ID do objeto do usuário ao qual o incidente é atribuído. |
| ownerType |
O tipo de proprietário ao qual o incidente é atribuído. |
|
| userPrincipalName |
string |
O nome principal do usuário ao qual o incidente é atribuído. |
IncidentSeverity
A gravidade do incidente
| Valor | Description |
|---|---|
| High |
Alta severidade |
| Medium |
Gravidade média |
| Low |
Baixa severidade |
| Informational |
Severidade informacional |
IncidentStatus
O estado do incidente
| Valor | Description |
|---|---|
| New |
Um incidente ativo que não está sendo tratado atualmente |
| Active |
Um incidente ativo que está a ser tratado |
| Closed |
Um incidente não ativo |
OwnerType
O tipo de proprietário ao qual o incidente é atribuído.
| Valor | Description |
|---|---|
| Unknown |
O tipo de proprietário do incidente é desconhecido |
| User |
O tipo de proprietário do incidente é um usuário do AAD |
| Group |
O tipo de proprietário do incidente é um grupo do AAD |
systemData
Metadados referentes à criação e última modificação do recurso.
| Name | Tipo | Description |
|---|---|---|
| createdAt |
string (date-time) |
O carimbo de data/hora da criação de recursos (UTC). |
| createdBy |
string |
A identidade que criou o recurso. |
| createdByType |
O tipo de identidade que criou o recurso. |
|
| lastModifiedAt |
string (date-time) |
O carimbo de data/hora da última modificação do recurso (UTC) |
| lastModifiedBy |
string |
A identidade que modificou o recurso pela última vez. |
| lastModifiedByType |
O tipo de identidade que modificou o recurso pela última vez. |