Incidents - Create Or Update
创建或更新事件。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2025-09-01URI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
incident
|
path | True |
string |
事件 ID |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
资源组的名称。 此名称不区分大小写。 |
|
subscription
|
path | True |
string (uuid) |
目标订阅的 ID。 该值必须是 UUID。 |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
工作区的名称。 |
|
api-version
|
query | True |
string minLength: 1 |
要用于此操作的 API 版本。 |
请求正文
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| properties.severity | True |
事件的严重性 |
|
| properties.status | True |
事件的状态 |
|
| properties.title | True |
string |
事件的标题 |
| etag |
string |
Azure 资源的 Etag |
|
| properties.classification |
事件关闭的原因 |
||
| properties.classificationComment |
string |
描述事件关闭的原因 |
|
| properties.classificationReason |
事件被关闭的分类原因 |
||
| properties.description |
string |
事件的说明 |
|
| properties.firstActivityTimeUtc |
string (date-time) |
事件中第一个活动的时间 |
|
| properties.labels |
与此事件相关的标签列表 |
||
| properties.lastActivityTimeUtc |
string (date-time) |
事件中最后一个活动的时间 |
|
| properties.owner |
描述事件分配给的用户 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 200 OK |
OK,作成功完成 |
|
| 201 Created |
已创建 |
|
| Other Status Codes |
描述操作失败的原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
类型:
oauth2
流向:
implicit
授权 URL:
https://login.microsoftonline.com/common/oauth2/authorize
作用域
| 名称 | 说明 |
|---|---|
| user_impersonation | 模拟用户帐户 |
示例
Creates or updates an incident.
示例请求
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-09-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
示例响应
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}定义
| 名称 | 说明 |
|---|---|
|
Attack |
此警报规则创建的警报的严重性。 |
|
Cloud |
错误响应结构。 |
|
Cloud |
错误详细信息。 |
|
created |
创建资源的标识的类型。 |
| Incident |
表示 Azure 安全见解中的事件。 |
|
Incident |
事件附加数据属性包。 |
|
Incident |
事件关闭的原因 |
|
Incident |
事件被关闭的分类原因 |
|
Incident |
表示事件标签 |
|
Incident |
标签的类型 |
|
Incident |
事件分配给用户的信息 |
|
Incident |
事件的严重性 |
|
Incident |
事件的状态 |
|
Owner |
事件分配给的所有者的类型。 |
|
system |
与创建和上次修改资源相关的元数据。 |
AttackTactic
此警报规则创建的警报的严重性。
| 值 | 说明 |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
错误响应结构。
| 名称 | 类型 | 说明 |
|---|---|---|
| error |
错误数据 |
CloudErrorBody
错误详细信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
| message |
string |
描述错误的消息,旨在适合在用户界面中显示。 |
createdByType
创建资源的标识的类型。
| 值 | 说明 |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Incident
表示 Azure 安全见解中的事件。
| 名称 | 类型 | 说明 |
|---|---|---|
| etag |
string |
Azure 资源的 Etag |
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| name |
string |
资源的名称 |
| properties.additionalData |
有关该事件的其他数据 |
|
| properties.classification |
事件关闭的原因 |
|
| properties.classificationComment |
string |
描述事件关闭的原因 |
| properties.classificationReason |
事件被关闭的分类原因 |
|
| properties.createdTimeUtc |
string (date-time) |
事件创建时间 |
| properties.description |
string |
事件的说明 |
| properties.firstActivityTimeUtc |
string (date-time) |
事件中第一个活动的时间 |
| properties.incidentNumber |
integer (int32) |
一个序列号 |
| properties.incidentUrl |
string |
Azure 门户中事件的深层链接 URL |
| properties.labels |
与此事件相关的标签列表 |
|
| properties.lastActivityTimeUtc |
string (date-time) |
事件中最后一个活动的时间 |
| properties.lastModifiedTimeUtc |
string (date-time) |
上次更新事件的时间 |
| properties.owner |
描述事件分配给的用户 |
|
| properties.providerIncidentId |
string |
事件提供程序分配的事件 ID |
| properties.providerName |
string |
生成事件的源提供程序的名称 |
| properties.relatedAnalyticRuleIds |
string[] (arm-id) |
与事件相关的分析规则的资源 ID 列表 |
| properties.severity |
事件的严重性 |
|
| properties.status |
事件的状态 |
|
| properties.title |
string |
事件的标题 |
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
| type |
string |
资源类型。 例如,“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
IncidentAdditionalData
事件附加数据属性包。
| 名称 | 类型 | 说明 |
|---|---|---|
| alertProductNames |
string[] |
事件中警报的产品名称列表 |
| alertsCount |
integer (int32) |
事件中的警报数 |
| bookmarksCount |
integer (int32) |
事件中的书签数 |
| commentsCount |
integer (int32) |
事件中的评论数 |
| providerIncidentUrl |
string |
Microsoft 365 Defender门户中事件的提供程序事件 URL |
| tactics |
与事件相关的策略 |
IncidentClassification
事件关闭的原因
| 值 | 说明 |
|---|---|
| Undetermined |
事件分类未确定 |
| TruePositive |
事件是真正的阳性 |
| BenignPositive |
事件为良性阳性 |
| FalsePositive |
事件为误报 |
IncidentClassificationReason
事件被关闭的分类原因
| 值 | 说明 |
|---|---|
| SuspiciousActivity |
分类原因是可疑活动 |
| SuspiciousButExpected |
分类原因可疑但意料之中 |
| IncorrectAlertLogic |
分类原因是警报逻辑不正确 |
| InaccurateData |
分类原因是数据不准确 |
IncidentLabel
表示事件标签
| 名称 | 类型 | 说明 |
|---|---|---|
| labelName |
string |
标签的名称 |
| labelType |
标签的类型 |
IncidentLabelType
标签的类型
| 值 | 说明 |
|---|---|
| User |
用户手动创建的标签 |
| AutoAssigned |
系统自动创建的标签 |
IncidentOwnerInfo
事件分配给用户的信息
| 名称 | 类型 | 说明 |
|---|---|---|
| assignedTo |
string |
事件分配给的用户的名称。 |
|
string |
事件分配给的用户的电子邮件。 |
|
| objectId |
string (uuid) |
事件分配给的用户的对象 ID。 |
| ownerType |
事件分配给的所有者的类型。 |
|
| userPrincipalName |
string |
事件分配给的用户的用户主体名称。 |
IncidentSeverity
事件的严重性
| 值 | 说明 |
|---|---|
| High |
高严重性 |
| Medium |
中等严重性 |
| Low |
低严重性 |
| Informational |
信息严重性 |
IncidentStatus
事件的状态
| 值 | 说明 |
|---|---|
| New |
当前未处理的活动事件 |
| Active |
正在处理的活动事件 |
| Closed |
非活动事件 |
OwnerType
事件分配给的所有者的类型。
| 值 | 说明 |
|---|---|
| Unknown |
事件所有者类型未知 |
| User |
事件所有者类型是 AAD 用户 |
| Group |
事件所有者类型是 AAD 组 |
systemData
与创建和上次修改资源相关的元数据。
| 名称 | 类型 | 说明 |
|---|---|---|
| createdAt |
string (date-time) |
资源创建时间戳(UTC)。 |
| createdBy |
string |
创建资源的标识。 |
| createdByType |
创建资源的标识的类型。 |
|
| lastModifiedAt |
string (date-time) |
上次修改的资源时间戳(UTC) |
| lastModifiedBy |
string |
上次修改资源的标识。 |
| lastModifiedByType |
上次修改资源的标识的类型。 |