Microsoft Sentinel (預覽版)
具有內建 AI 的雲端原生 SIEM,讓您可以專注於最重要的事情
此連接器適用於以下產品和區域:
| 服務 | Class | Regions |
|---|---|---|
| 邏輯應用程式 | 標準 | 所有 Logic Apps 區域 |
| 連絡人 | |
|---|---|
| 名稱 | Microsoft |
| URL |
Microsoft LogicApps 支援 |
| 連接器中繼資料 | |
|---|---|
| Publisher | Microsoft |
| 網站 | https://azure.microsoft.com/services/azure-sentinel/ |
Microsoft Sentinel 連接器
深度連接器
深入瞭解如何使用此連接器:
Authentication
Mcirosoft Sentinel 連接器中的觸發程序和動作可以代表在相關工作區上具有必要權限 (讀取和/或寫入) 的任何身分識別運作。 連接器支援多種身分識別類型:
所需權限
| 角色/連接器元件 | 觸發器 | 「取得」動作 | 更新事件, 新增留言 |
|---|---|---|---|
| Microsoft Sentinel 讀取器 | ✓ | ✓ | ✗ |
| Microsoft Sentinel 回應者/參與者 | ✓ | ✓ | ✓ |
深入瞭解 Microsoft Sentinel 中的許可權。
已知問題與限制
無法使用 [執行觸發程式] 按鈕觸發 Microsoft Sentinel 觸發程式所呼叫的邏輯應用程式
使用者無法使用 Logic Apps 服務 [概觀] 刀鋒視窗上的 [執行觸發程式] 按鈕來觸發 Microsoft Sentinel 劇本。
Azure Logic Apps 是由 POST REST 呼叫觸發,其本文是觸發程式的輸入。 以 Microsoft Sentinel 觸發程式開頭的 Logic Apps 預期會在通話本文中看到 Microsoft Sentinel 警示 或 事件 的內容。 當呼叫來自 [Logic Apps 概觀] 刀鋒視窗時,呼叫的本文是空的,因此會產生錯誤。
以下是觸發 Microsoft Sentinel 劇本的唯一正確方式:
- Microsoft Sentinel 中的手動觸發程序
- Microsoft Sentinel 中分析規則的自動回應 (直接或透過自動化規則)
- 在現有的 Logic Apps 執行刀鋒視窗中使用 [重新提交] 按鈕
- 直接呼叫 Logic Apps 端點 (將警示/事件附加為本文)
平行更新相同的事件 For each 迴圈
對於每個 循環默認設置為並行運行,但可以輕鬆 設置為按順序運行。 如果 for each 迴圈可能會在個別反覆專案中更新相同的 Microsoft Sentinel 事件,則應該將其設定為循序執行。
目前不支援透過 Logic Apps 還原警示的原始查詢
使用 Azure 監視器記錄連接器 來擷取排程警示分析規則所擷取的事件並不一致可靠。
- Azure 監視器記錄不支援自訂時間範圍的定義。 還原完全相同的查詢結果需要定義與原始查詢中完全相同的時間範圍。
- 在規則觸發劇本之後,警示可能會延遲出現在 Log Analytics 工作區中。
可用資源
Microsoft Sentinel 文件
Microsoft Sentinel 參考資料
Azure Logic Apps
正在建立連線
連接器支援下列驗證類型:
| 預設值 | 建立連線的參數。 | 所有區域 | 不可共享 |
預設
適用:所有地區
建立連線的參數。
這不是可共用的連線。 如果 Power App 與其他使用者共用,系統會明確提示其他使用者建立新連線。
節流限制
| 名稱 | 呼叫 | 續約期間 |
|---|---|---|
| 每個連線的 API 呼叫 | 600 | 60 秒 |
動作
| ASI 觸發器取消訂閱 [已棄用] |
取消訂閱 |
| 取得事件 |
依 ARM ID 取得事件 |
| 威脅情報 - 上傳 STIX 物件 (預覽) |
使用威脅情報上傳 API 大量上傳 STIX 物件。 |
| 威脅情報 - 上傳入侵指標 (v2) (預覽版) |
使用威脅情報上傳指標 API 大量上傳指標。 |
| 威脅情報 - 上傳入侵指標 (已淘汰) |
威脅情報 - 上傳入侵指標 |
| 實體 - 取得 DNS |
傳回與警示相關聯的 DNS 記錄清單 |
| 實體 - 取得 IP |
傳回與警示相關聯的 IP 清單 |
| 實體 - 取得 URL |
傳回與警示相關聯的 URL 清單 |
| 實體 - 取得主機 |
傳回與警示相關聯的主機清單 |
| 實體 - 取得帳戶 |
傳回與警示相關聯的帳戶清單 |
| 實體 - 取得檔案雜湊 |
傳回與警示相關聯的檔案雜湊清單 |
| 將工作新增至事件 |
將任務新增至現有事件 |
| 將工作標示為已完成 |
將工作標示為已完成 |
| 將標籤新增至事件 (已淘汰) [已淘汰] |
將標籤新增至選取的事件 |
| 將註解新增至事件 (V2) |
將註解新增至選取的事件 |
| 將註解新增至事件 (V3) |
將註解新增至選取的事件 |
| 將評論新增至事件 [已棄用] |
此動作已被取代。 請改用 [將註解新增至事件 (V3)] 。
|
| 將警示新增至事件 |
將警示新增至現有事件。 警示會像任何其他警示一樣加入事件,並將顯示在入口網站中。 |
| 建立事件 |
使用提供的欄位建立事件 |
| 從事件中移除標籤 (已淘汰) [已淘汰] |
移除所選事件的標籤 |
| 從事件中移除警示 |
從現有事件中移除警示。 |
| 更新事件 |
使用提供的欄位更新事件 |
| 書籤 - 刪除書籤 |
書籤 - 刪除書籤 |
| 書籤 - 取得書籤 |
書籤 - 通過 Id 獲取書籤 |
| 書籤 - 建立新的書籤 (預覽) |
書籤 - 建立新書籤。 |
| 書籤 - 獲取所有書籤 |
書籤 - 取得指定工作區的所有書籤 |
| 書籤 (V2) - 建立新的書籤 (json 輸入) (預覽) |
書籤 (V2) - 建立有效的新書籤 (json)。 |
| 書籤 (V3) - 建立具有個別欄位的新書籤 (預覽) |
書籤 (V3) - 建立新書籤。 |
| 監看清單 - 使用 SAS Uri 建立大型監看清單 |
監看清單 - 使用 SAS Uri 建立大型監看清單 |
| 監看清單 - 使用 SAS Uri 建立大型監看清單 (V2) |
監看清單 - 使用 SAS Uri 建立大型監看清單 (V2) |
| 監看清單 - 依識別碼取得監看清單專案 (guid) |
監視列表 - 獲取監視列表項目 |
| 監視列表 - 獲取給定監視列表的所有監視列表項目 |
監視列表 - 獲取給定監視列表的所有監視列表項目 |
| 監視列表 - 獲取給定監視列表的所有監視列表項目 (V2) |
監視列表 - 獲取給定監視列表的所有監視列表項目 (V2) |
| 監視列表 - 通過別名獲取監視列表 |
監視列表 - 通過別名獲取監視列表 |
| 監視清單 - 使用資料建立新的監視清單 (原始內容) (V2) |
監視清單 - 使用資料建立新的監視清單 (原始內容) (V2) |
| 監視清單 - 使用資料建立新的監視清單(原始內容) |
監視清單 - 使用資料建立新的監視清單(原始內容) |
| 監視清單 - 刪除監視清單 |
監視清單 - 刪除監視清單 |
| 監視清單 - 刪除監視清單 (V2) |
依別名刪除指定的監視清單。 |
| 監視清單 - 刪除監視清單項目 |
監視清單 - 刪除監視清單項目 |
| 監視清單 - 刪除監視清單項目 (V2) |
監視清單 - 刪除監視清單項目 (V2) |
| 監視清單 - 新增監視清單項目 |
監視清單 - 新增監視清單項目 |
| 監視清單 - 更新現有的監視清單項目 |
監視清單 - 更新現有的監視清單項目 |
| 警示 - 取得事件 |
傳回與所選警示相關聯的事件 |
| 警示 - 取得事件 |
傳回與所選警示相關聯的事件 |
| 變更事件嚴重性 (已淘汰) [已淘汰] |
將嚴重性變更為選取的事件 |
| 變更事件描述 [已淘汰] |
將描述變更為選取的事件 |
| 變更事件描述 (V2) (已淘汰) [已淘汰] |
將描述變更為選取的事件 |
| 變更事件標題 [已淘汰] |
將標題變更為選取的事件 |
| 變更事件標題 (V2) (已淘汰) [已淘汰] |
將標題變更為選取的事件 |
| 變更事件狀態 (已淘汰) [已淘汰] |
將狀態變更為選取的事件 |
ASI 觸發器取消訂閱 [已棄用]
取得事件
依 ARM ID 取得事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
事件 ARM ID
|
incidentArmId | True | string |
事件 ARM ID |
傳回
代表 Azure 安全性深入解析中的事件。
- 身體
- Incident
威脅情報 - 上傳 STIX 物件 (預覽)
使用威脅情報上傳 API 大量上傳 STIX 物件。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
傳回
威脅情報 Uplaod API 的回應。 這些是要求本文中無效物件的錯誤。
威脅情報 - 上傳入侵指標 (v2) (預覽版)
使用威脅情報上傳指標 API 大量上傳指標。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
傳回
威脅情報 Uplaod API 的回應。 這些是要求本文中無效物件的錯誤。
威脅情報 - 上傳入侵指標 (已淘汰)
威脅情報 - 上傳入侵指標
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
傳回
威脅情報 Uplaod 指標的回應。
實體 - 取得 DNS
傳回與警示相關聯的 DNS 記錄清單
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
實體清單
|
body | True | string |
實體清單 |
傳回
與警示相關聯的 DNS 網域清單
實體 - 取得 IP
傳回與警示相關聯的 IP 清單
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
實體清單
|
body | True | string |
實體清單 |
傳回
與警示相關聯的 IP 清單
實體 - 取得 URL
傳回與警示相關聯的 URL 清單
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
實體清單
|
body | True | string |
實體清單 |
傳回
與警示相關聯的 URL 清單
實體 - 取得主機
傳回與警示相關聯的主機清單
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
實體清單
|
body | True | string |
實體清單 |
傳回
與警示相關聯的主機清單
實體 - 取得帳戶
傳回與警示相關聯的帳戶清單
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
實體清單
|
body | True | string |
實體清單 |
傳回
與警示相關聯的帳戶清單
實體 - 取得檔案雜湊
傳回與警示相關聯的檔案雜湊清單
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
實體清單
|
body | True | string |
實體清單 |
傳回
與警示相關聯的檔案雜湊清單
將工作新增至事件
將任務新增至現有事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
事件 ARM ID
|
incidentArmId | True | string |
事件 ARM ID |
|
Title
|
taskTitle | True | string |
工作標題 |
|
Description
|
taskDescription | html |
工作描述 |
傳回
代表事件工作項目
- 事件任務
- IncidentTask
將工作標示為已完成
將工作標示為已完成
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
工作 ARM ID
|
taskArmId | True | string |
工作 ARM ID |
傳回
代表事件工作項目
- 事件任務
- IncidentTask
將標籤新增至事件 (已淘汰) [已淘汰]
將標籤新增至選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
標籤
|
Label | True | string |
標籤 |
傳回
- response
- string
將註解新增至事件 (V2)
將註解新增至選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
指定註解
|
Value | True | string |
註解值 |
傳回
- response
- string
將註解新增至事件 (V3)
將註解新增至選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
事件 ARM ID
|
incidentArmId | True | string |
事件 ARM ID |
|
事件評論訊息
|
message | True | html |
事件評論訊息 |
傳回
代表事件註解項目
- 事件評論
- IncidentComment
將評論新增至事件 [已棄用]
此動作已被取代。 請改用 [將註解新增至事件 (V3)] 。
將註解新增至選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
指定事件註解
|
comment | True | string |
事件評論 |
傳回
- response
- string
將警示新增至事件
將警示新增至現有事件。 警示會像任何其他警示一樣加入事件,並將顯示在入口網站中。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
事件 ARM 標識碼
|
incidentArmId | True | string |
事件 ARM ID。 從事件觸發程序、警示 - 取得事件動作或 Azure 監視器記錄查詢擷取。 |
|
系統警示識別碼
|
relatedResourceId | True | string |
系統警報 ID,將添加到事件中/從事件中刪除。 從 Azure 監視器記錄查詢或警示觸發程式擷取。 例如:dfc09ba0-c218-038d-2ad8-b198a0033bdb。 |
傳回
代表事件關係
建立事件
使用提供的欄位建立事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
選取訂閱 |
|
資源群組
|
resourceGroup | True | string |
選取資源群組 |
|
工作區名稱
|
workspaceName | True | string |
選取工作區 |
|
指定事件欄位
|
body | True | dynamic |
事件欄位 |
傳回
代表 Azure 安全性深入解析中的事件。
- 身體
- Incident
從事件中移除標籤 (已淘汰) [已淘汰]
移除所選事件的標籤
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
標籤
|
Label | True | string |
標籤 |
傳回
- response
- string
從事件中移除警示
從現有事件中移除警示。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
事件 ARM 標識碼
|
incidentArmId | True | string |
事件 ARM ID。 從事件觸發程序、警示 - 取得事件動作或 Azure 監視器記錄查詢擷取。 |
|
系統警示識別碼
|
relatedResourceId | True | string |
系統警報 ID,將添加到事件中/從事件中刪除。 從 Azure 監視器記錄查詢或警示觸發程式擷取。 例如:dfc09ba0-c218-038d-2ad8-b198a0033bdb。 |
傳回
- response
- string
更新事件
使用提供的欄位更新事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定要更新的事件欄位
|
body | True | dynamic |
要更新的事件欄位 |
傳回
代表 Azure 安全性深入解析中的事件。
- 身體
- Incident
書籤 - 刪除書籤
書籤 - 刪除書籤
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定書籤識別碼
|
bookmarkId | True | string |
書籤的 ID |
傳回
- response
- string
書籤 - 取得書籤
書籤 - 通過 Id 獲取書籤
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定書籤識別碼
|
bookmarkId | True | string |
書籤的 ID |
傳回
代表 Azure Security Insights 中的書籤。
- 身體
- Bookmark
書籤 - 建立新的書籤 (預覽)
書籤 - 建立新書籤。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定書籤識別碼
|
bookmarkId | True | string |
書籤的 ID |
|
創建
|
created | date-time |
建立書籤的時間 |
|
|
電子郵件
|
string |
用戶的電子郵件。 |
||
|
名稱
|
name | string |
用戶的名稱。 |
|
|
objectId
|
objectId | uuid |
用戶的物件識別碼。 |
|
|
顯示名稱
|
displayName | True | string |
書籤的顯示名稱 |
|
labels
|
labels | string |
將用來標記和篩選的標籤。 |
|
|
附註
|
notes | string |
書籤的附注 |
|
|
查詢
|
query | True | string |
書籤的查詢。 |
|
查詢結果
|
queryResult | string |
書籤的查詢結果。 |
|
|
更新
|
updated | date-time |
上次更新書籤的時間 |
|
|
事件時間
|
eventTime | date-time |
書籤事件時間 |
|
|
查詢開始時間
|
queryStartTime | date-time |
查詢的開始時間 |
|
|
查詢結束時間
|
queryEndTime | date-time |
查詢的結束時間 |
|
|
事件 ARM ID
|
id | string |
事件的完整 ARM ID。 |
|
|
事件 ARM 名稱
|
name | string |
事件的 ARM 名稱 (GUID) |
|
|
事件警示計數
|
alertsCount | integer |
事件中的警示數目 |
|
|
事件書籤計數
|
bookmarksCount | integer |
事件中的書籤數目 |
|
|
事件註解計數
|
commentsCount | integer |
事件中的批注數目 |
|
|
事件警示產品名稱
|
alertProductNames | array of string |
事件中警示的產品名稱清單 |
|
|
提供者事件 URL
|
providerIncidentUrl | string |
Microsoft Defender 入口網站中事件的 URL |
|
|
合併事件編號
|
mergedIncidentNumber | string |
目前事件已合併的事件事件數目 |
|
|
合併事件 URL
|
mergedIncidentUrl | string |
目前事件已合併至事件的 URL |
|
|
事件策略
|
Incident Tactics | string |
代表與事件相關聯的戰術項目 |
|
|
事件技術
|
techniques | array of string |
與事件策略相關的技術」 |
|
|
事件分類
|
classification | string |
事件關閉的原因 |
|
|
事件分類註解
|
classificationComment | string |
描述事件關閉的原因 |
|
|
事件分類原因
|
classificationReason | string |
事件關閉的分類原因 |
|
|
事件建立時間 UTC
|
createdTimeUtc | date-time |
事件建立的時間 |
|
|
事件描述
|
description | string |
事件的描述 |
|
|
事件首次活動時間 UTC
|
firstActivityTimeUtc | date-time |
事件中第一個活動的時間 |
|
|
事件 URL
|
incidentUrl | string |
Azure 入口網站中事件的深層連結 URL |
|
|
提供者事件識別碼
|
providerIncidentId | string |
事件提供者指派的事件標識碼 |
|
|
事件哨兵 ID
|
incidentNumber | integer |
用來識別 Microsoft Sentinel 中事件的序號。 |
|
|
事件上次活動時間 UTC
|
lastActivityTimeUtc | date-time |
事件中最後一個活動的時間 |
|
|
事件嚴重性
|
severity | string |
事件的嚴重性 |
|
|
事件狀態
|
status | string |
事件的狀態 |
|
|
事件標題
|
title | string |
事件的標題 |
|
|
名稱
|
labelName | True | string |
標籤的名稱 |
|
類型
|
labelType | string |
標籤的類型 |
|
|
事件上次修改時間 UTC
|
lastModifiedTimeUtc | date-time |
上次更新事件的時間 |
|
|
Email
|
string |
事件指派給之用戶的電子郵件。 |
||
|
指派至
|
assignedTo | string |
事件指派給的用戶名稱。 (assignedTo 欄位) |
|
|
ObjectId (物件識別碼)
|
objectId | uuid |
事件指派給之使用者的物件標識符。 |
|
|
使用者主體名稱
|
userPrincipalName | string |
事件指派給之使用者的用戶主體名稱。 |
|
|
事件相關分析規則識別碼
|
relatedAnalyticRuleIds | array of string |
與事件相關的分析規則資源標識碼清單 |
|
|
ID
|
id | string |
註解的完整 ARM ID。 |
|
|
名稱
|
name | string |
註解的 ARM 名稱 (GUID) |
|
|
properties
|
properties |
代表事件註解屬性 JSON。 |
傳回
代表 Azure Security Insights 中的書籤。
- 身體
- Bookmark
書籤 - 獲取所有書籤
書籤 - 取得指定工作區的所有書籤
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定書籤數目
|
numberOfBookmarks | True | integer |
要傳回的書籤數目。 0 或負數以傳回所有書籤 |
傳回
列出所有書籤。
- 身體
- BookmarkList
書籤 (V2) - 建立新的書籤 (json 輸入) (預覽)
書籤 (V2) - 建立有效的新書籤 (json)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
書籤顯示名稱
|
displayName | True | string |
書籤的顯示名稱 |
|
書籤查詢
|
bookmarkQuery | True | string |
書籤查詢 (例如。 '安全活動 |其中 TimeGenerated > ago(1d) 和 TimeGenerated < ago(2d)') |
|
書籤查詢結果
|
bookmarkQueryResult | True | string |
書籤查詢結果 (例如「安全性事件查詢結果」) |
|
書籤筆記
|
bookmarkNotes | string |
書籤筆記(例如“我的書籤筆記”) |
傳回
代表 Azure Security Insights 中的書籤。
- 身體
- Bookmark
書籤 (V3) - 建立具有個別欄位的新書籤 (預覽)
書籤 (V3) - 建立新書籤。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定書籤顯示名稱
|
bookmarkName | True | string |
書籤顯示名稱(例如「我的書籤」) |
|
指定書籤查詢
|
bookmarkQuery | True | string |
書籤查詢 (例如。 '安全活動 |其中 TimeGenerated > ago(1d) 和 TimeGenerated < ago(2d)') |
|
指定書籤查詢結果
|
bookmarkQueryResult | True | string |
書籤查詢結果 (例如「安全性事件查詢結果」) |
|
指定書籤附註
|
bookmarkNotes | True | string |
書籤筆記(例如“我的書籤筆記”) |
傳回
代表 Azure Security Insights 中的書籤。
- 身體
- Bookmark
監看清單 - 使用 SAS Uri 建立大型監看清單
監看清單 - 使用 SAS Uri 建立大型監看清單
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
傳回
代表 Azure Security Insights 中的監看清單。
- 身體
- Watchlist
監看清單 - 使用 SAS Uri 建立大型監看清單 (V2)
監看清單 - 使用 SAS Uri 建立大型監看清單 (V2)
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
傳回
代表 Azure Security Insights 中的監看清單。
- 身體
- WatchlistV2
監看清單 - 依識別碼取得監看清單專案 (guid)
監視列表 - 獲取監視列表項目
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
|
指定監看清單項目標識符
|
watchlistItemId | True | string |
監看清單專案的唯一識別碼 (GUID) |
傳回
代表 Azure 安全性深入解析中的 WatchlistItem。
監視列表 - 獲取給定監視列表的所有監視列表項目
監視列表 - 獲取給定監視列表的所有監視列表項目
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
傳回
列出所有關注清單專案。
- response
- WatchlistItemList
監視列表 - 獲取給定監視列表的所有監視列表項目 (V2)
監視列表 - 獲取給定監視列表的所有監視列表項目 (V2)
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
|
跳過代幣
|
skipToken | string |
跳過下一組 100 個項目的標記以返回 |
傳回
列出所有關注清單專案。
- response
- WatchlistItemList
監視列表 - 通過別名獲取監視列表
監視列表 - 通過別名獲取監視列表
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
傳回
代表 Azure Security Insights 中的監看清單。
- 身體
- Watchlist
監視清單 - 使用資料建立新的監視清單 (原始內容) (V2)
監視清單 - 使用資料建立新的監視清單 (原始內容) (V2)
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
傳回
代表 Azure Security Insights 中的監看清單。
- 身體
- WatchlistV2
監視清單 - 使用資料建立新的監視清單(原始內容)
監視清單 - 使用資料建立新的監視清單(原始內容)
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
傳回
代表 Azure Security Insights 中的監看清單。
- 身體
- Watchlist
監視清單 - 刪除監視清單
監視清單 - 刪除監視清單
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
傳回
- response
- string
監視清單 - 刪除監視清單 (V2)
依別名刪除指定的監視清單。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
監視清單 - 刪除監視清單項目
監視清單 - 刪除監視清單項目
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
|
指定監看清單項目標識符
|
watchlistItemId | True | string |
監看清單專案的唯一識別碼 (GUID) |
傳回
- response
- string
監視清單 - 刪除監視清單項目 (V2)
監視清單 - 刪除監視清單項目 (V2)
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
|
指定監看清單項目標識符
|
watchlistItemId | True | string |
監看清單專案的唯一識別碼 (GUID) |
傳回
- response
- string
監視清單 - 新增監視清單項目
監視清單 - 新增監視清單項目
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
傳回
代表 Azure 安全性深入解析中的 WatchlistItem。
監視清單 - 更新現有的監視清單項目
監視清單 - 更新現有的監視清單項目
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定監視清單別名
|
watchlistAlias | True | string |
監視清單別名 |
|
指定監看清單項目標識符
|
watchlistItemId | True | string |
監看清單專案的唯一識別碼 (GUID) |
傳回
代表 Azure 安全性深入解析中的 WatchlistItem。
警示 - 取得事件
傳回與所選警示相關聯的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定警示識別碼
|
alertId | True | string |
系統警示識別碼 |
傳回
代表 Azure 安全性深入解析中的事件。
- 身體
- Incident
警示 - 取得事件
傳回與所選警示相關聯的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
指定警示識別碼
|
alertId | True | string |
系統警示識別碼 |
傳回
- 身體
- OldIncident
變更事件嚴重性 (已淘汰) [已淘汰]
將嚴重性變更為選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
指定嚴重性
|
severity | True | string |
嚴重性值 |
傳回
- response
- string
變更事件描述 [已淘汰]
將描述變更為選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
指定說明
|
fieldValue | True | string |
描述值 |
傳回
- response
- string
變更事件描述 (V2) (已淘汰) [已淘汰]
將描述變更為選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
指定說明
|
Value | True | string |
描述值 |
傳回
- response
- string
變更事件標題 [已淘汰]
將標題變更為選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
指定標題
|
fieldValue | True | string |
標題值 |
傳回
- response
- string
變更事件標題 (V2) (已淘汰) [已淘汰]
將標題變更為選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
指定標題
|
Value | True | string |
標題值 |
傳回
- response
- string
變更事件狀態 (已淘汰) [已淘汰]
將狀態變更為選取的事件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
指定訂用帳戶識別碼
|
subscriptionId | True | string |
訂閱 ID |
|
指定資源群組
|
resourceGroup | True | string |
資源群組 |
|
指定工作區識別碼
|
workspaceId | True | string |
工作區識別碼 |
|
識別碼
|
identifier | True | string |
事件/警報 |
|
指定警示/事件
|
id | True | string |
請提供事件編號/警報 ID |
|
指定狀態
|
status | True | string |
狀態值 |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
事件狀態變更器的動態架構 |
傳回
- response
- string
觸發程序
| Microsoft Sentinel 事件 |
觸發 Microsoft Sentinel 事件的回應時。 此教戰手冊會在建立或更新新事件時由自動化規則觸發。 教戰手冊會接收 Microsoft Sentinel 事件作為其輸入,包括警示和實體。 |
| Microsoft Sentinel 實體 |
在 Microsoft Sentinel 實體上執行劇本 |
| Microsoft Sentinel 警示 |
觸發 Microsoft Sentinel 警示的回應時。 此教戰手冊會在建立新警示時由分析規則觸發,或由手動觸發觸發。 教戰手冊會接收警示作為其輸入。 |
| 觸發 Microsoft Sentinel 警示的回應時 [已淘汰] |
觸發 Microsoft Sentinel 警示的回應時。 此劇本必須使用 Microsoft Sentinel Real Time 或從 Azure 觸發 |
Microsoft Sentinel 事件
觸發 Microsoft Sentinel 事件的回應時。 此教戰手冊會在建立或更新新事件時由自動化規則觸發。 教戰手冊會接收 Microsoft Sentinel 事件作為其輸入,包括警示和實體。
傳回
Microsoft Sentinel 實體
在 Microsoft Sentinel 實體上執行劇本
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
實體類型
|
entityType | True | string |
實體類型 |
傳回
Microsoft Sentinel 警示
觸發 Microsoft Sentinel 警示的回應時 [已淘汰]
定義
UploadApiValidationErrors
威脅情報 Uplaod API 的回應。 這些是要求本文中無效物件的錯誤。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
驗證錯誤訊息
|
validationErrorMessages | array of string |
指標驗證錯誤
威脅情報 Uplaod 指標的回應。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponse帳戶
與警示相關聯的帳戶清單
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
與警示相關聯的帳戶清單 |
Account
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
名稱
|
Name | string |
帳戶名稱 |
|
NT 網域
|
NTDomain | string |
NETBIOS 網域名稱,如警示格式所示 |
|
Dns網域
|
DnsDomain | string |
完整網域 DNS 名稱 |
|
UPN 尾碼
|
UPNSuffix | string |
使用者主體名稱尾碼 |
|
SID
|
Sid | string |
帳戶安全識別碼,例如 S-1-5-18 |
|
Microsoft Entra ID 租用戶識別碼
|
AadTenantId | string |
Microsoft Entra ID 租用戶識別碼 (如果已知) |
|
Microsoft Entra ID 使用者識別碼
|
AadUserId | string |
Microsoft Entra ID 使用者識別碼 (如果已知) |
|
PUID
|
PUID | string |
Microsoft Entra ID Passport 使用者識別碼 (如果已知) |
|
是否已加入網域
|
IsDomainJoined | boolean |
判斷這是否為網域帳戶 |
|
物件誘導
|
ObjectGuid | string |
objectGUID 屬性是單一值屬性,它是物件的唯一識別碼,由 Microsoft Entra ID 指派 |
批次回應網址
與警示相關聯的 URL 清單
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
URL
|
URLs | array of UrlEntity |
與警示相關聯的 URL 清單 |
Url實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
網址
|
Url | string |
BatchResponse主機
與警示相關聯的主機清單
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
與警示相關聯的主機清單 |
Host
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
DNS 網域
|
DnsDomain | string |
此主機所屬的 DNS 網域 |
|
NT 網域
|
NTDomain | string |
此主機所屬的 NT 網域 |
|
Hostname
|
HostName | string |
沒有網域尾碼的主機名稱 |
|
網路生物名稱
|
NetBiosName | string |
主機名稱 (windows2000 之前) |
|
OMSAgentID
|
OMSAgentID | string |
OMS 代理程式識別碼 (如果主機已安裝 OMS 代理程式) |
|
作業系統Family
|
OSFamily | string |
下列值之一:Linux、Windows、Android、IOS |
|
作業系統版本
|
OSVersion | string |
作業系統的自由文字表示法 |
|
是否已加入網域
|
IsDomainJoined | boolean |
判斷此主機是否屬於網域 |
|
AzureID
|
AzureID | string |
VM 的 Azure 資源識別碼 (如果已知) |
批次回應IP
與警示相關聯的 IP 清單
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
IP
|
IPs | array of IP |
與警示相關聯的 IP 清單 |
IP
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
Address
|
Address | string |
IP 位址 |
批次回應DNS
與警示相關聯的 DNS 網域清單
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
DNS 網域
|
Dnsresolutions | array of DNS |
與警示相關聯的 DNS 網域清單 |
DNS
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
網域名稱
|
DomainName | string |
與警示相關聯的 DNS 記錄名稱 |
批次回應檔案雜湊
與警示相關聯的檔案雜湊清單
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
檔案雜湊
|
Filehashes | array of FileHash |
與警示相關聯的檔案雜湊清單 |
檔案雜湊
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
價值觀
|
Value | string |
檔案雜湊值 |
|
演算法
|
Algorithm | string |
檔案雜湊演算法類型 |
舊事件
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
properties
|
properties | OldIncidentProperties |
舊事件屬性
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
地位
|
Status | string |
事件的狀態 |
|
Labels
|
Labels | array of |
事件的標籤 |
|
Title
|
Title | string |
事件的標題 |
|
Description
|
Description | string |
事件的描述 |
|
結束時間 UTC
|
EndTimeUtc | string |
事件結束的時間 |
|
開始時間 UTC
|
StartTimeUtc | string |
事件開始時間 |
|
最後更新時間 UTC
|
LastUpdatedTimeUtc | string |
事件更新時間 |
|
Number
|
CaseNumber | string |
事件編號 |
|
創建時間 UTC
|
CreatedTimeUtc | string |
事件建立的時間 |
|
Severity
|
Severity | string |
事件的嚴重性 |
|
相關警示標識碼
|
RelatedAlertIds | array of |
事件的相關警示標識碼 |
事件附加資料
事件其他數據屬性包。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
事件警示計數
|
alertsCount | integer |
事件中的警示數目 |
|
事件書籤計數
|
bookmarksCount | integer |
事件中的書籤數目 |
|
事件註解計數
|
commentsCount | integer |
事件中的批注數目 |
|
事件警示產品名稱
|
alertProductNames | array of string |
事件中警示的產品名稱清單 |
|
提供者事件 URL
|
providerIncidentUrl | string |
Microsoft Defender 入口網站中事件的 URL |
|
合併事件編號
|
mergedIncidentNumber | string |
目前事件已合併的事件事件數目 |
|
合併事件 URL
|
mergedIncidentUrl | string |
目前事件已合併至事件的 URL |
|
事件策略
|
tactics | array of AttackTactic |
與事件相關聯的策略 |
|
事件技術
|
techniques | array of string |
與事件策略相關的技術」 |
IncidentLabel
代表事件標籤
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
名稱
|
labelName | string |
標籤的名稱 |
|
類型
|
labelType | string |
標籤的類型 |
IncidentOwnerInfo
事件指派給使用者的相關信息
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
Email
|
string |
事件指派給之用戶的電子郵件。 |
|
|
指派至
|
assignedTo | string |
事件指派給的用戶名稱。 (assignedTo 欄位) |
|
ObjectId (物件識別碼)
|
objectId | uuid |
事件指派給之使用者的物件標識符。 |
|
使用者主體名稱
|
userPrincipalName | string |
事件指派給之使用者的用戶主體名稱。 |
攻擊戰術
警示嚴重性
HuntingBookmark
代表狩獵書籤項目
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
臂標識碼
|
id | string |
書籤的完整 ARM ID。 |
|
ARM 名稱
|
name | string |
書籤的 ARM 名稱 (GUID) |
|
properties
|
properties | HuntingBookmarkProperties |
代表 HuntingBookmark 屬性 JSON。 |
安全警報
代表安全性警示項目
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
臂標識碼
|
id | string |
警示的完整 ARM 識別碼。 |
|
ARM 名稱
|
name | string |
警示的 ARM 名稱 (GUID) |
|
properties
|
properties | SecurityAlertProperties |
代表警示屬性 JSON。 |
搜尋書籤屬性
代表 HuntingBookmark 屬性 JSON。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
顯示名稱
|
displayName | string |
書籤的顯示名稱 |
|
已建立
|
created | date-time |
書籤的建立時間 |
|
Updated
|
updated | date-time |
書籤的更新時間 |
|
由使用者資訊建立
|
createdBy | CreatedByUserInfo |
代表 UserInfo 屬性 JSON。 |
|
更新者:用戶信息
|
updatedBy | UpdatedByUserInfo |
代表 UserInfo 屬性 JSON。 |
|
活動時間
|
eventTime | date-time |
書籤的事件時間 |
|
註釋
|
notes | string |
書籤的附注 |
|
Labels
|
labels | array of string |
書籤的標籤 |
|
Query
|
query | string |
書籤的查詢 |
|
查詢結果
|
queryResult | string |
書籤的查詢結果 |
SecurityAlert屬性
代表警示屬性 JSON。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
友善名稱
|
friendlyName | string |
圖表項目顯示名稱,這是圖表項目實例的簡短人類可讀描述。 這個屬性是選擇性的,而且可能是系統產生的。 |
|
顯示名稱
|
alertDisplayName | string |
警示的顯示名稱 |
|
類型
|
alertType | string |
在排程警示中,這是分析規則識別碼。 |
|
URI
|
alertLink | string |
這是原始廠商中警示的連結。 |
|
受損實體
|
compromisedEntity | string |
回報對象主要實體的顯示名稱。 |
|
置信水平
|
confidenceLevel | string |
此警示的信賴等級。 |
|
Description
|
description | string |
警示的說明。 |
|
結束時間 UTC
|
endTimeUtc | date-time |
警示的影響結束時間(導致警示的最後一個事件時間)。 |
|
提供者 ID
|
providerAlertId | string |
產生警示之產品內的警示標識碼。 |
|
產品名稱
|
productName | string |
發佈此警示的產品名稱。 |
|
冥想步驟
|
remediationSteps | array of string |
補救警示所要採取的手動動作項目清單。 |
|
Severity
|
severity | AlertSeverity |
警示的嚴重性 |
|
開始時間
|
startTimeUtc | date-time |
警示的影響開始時間(造成警示的第一個事件的時間)。 |
|
地位
|
status | string |
警示的生命周期狀態。 |
|
系統標識碼
|
systemAlertId | string |
保留產品警示的產品標識碼。 |
|
Tactics
|
tactics | array of AttackTactic |
警示策略清單。 |
|
產生的時間
|
timeGenerated | date-time |
產生警示的時間。 |
|
Query
|
additionalData.Query | string |
用來決定是否應該觸發警示的查詢 (僅限排程警示)。 |
|
查詢開始時間
|
additionalData.Query Start Time UTC | string |
用來決定是否應該觸發警示的查詢開始時間 (僅限排程警示)。 |
|
查詢結束時間
|
additionalData.Query End Time UTC | string |
用來決定是否應該觸發警示的查詢開始時間 (僅限排程警示)。 |
|
查詢運算子
|
additionalData.Trigger Operator | string |
用於決定是否應觸發警示的操作員(僅限排程警示)。 |
|
查詢臨界值
|
additionalData.Trigger Threshold | string |
用來決定是否應觸發警示的臨界值 (僅限排程警示)。 |
|
自訂詳細資料
|
additionalData.Custom Details | string |
分析規則新增至警示的自訂事件詳細資料 (僅限排程警示)。 若要使用此欄位,請遵循「剖析 JSON」動作,並使用現有警示中的範例承載來模擬結構描述。 |
|
資源識別碼
|
resourceIdentifiers | array of object |
警示的資源識別碼 |
|
items
|
resourceIdentifiers | object |
代表警示資源識別碼。 |
事件
代表 Azure 安全性深入解析中的事件。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
事件 ARM ID
|
id | string |
事件的完整 ARM ID。 |
|
事件 ARM 名稱
|
name | string |
事件的 ARM 名稱 (GUID) |
|
properties
|
properties | IncidentProperties |
代表事件屬性 JSON。 |
完整事件
依 ARM ID 取得事件
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
事件 ARM ID
|
id | string |
事件的完整 ARM ID。 |
|
事件 ARM 名稱
|
name | string |
事件的 ARM 名稱 (GUID) |
|
properties
|
properties | FullIncidentProperties |
代表事件屬性 JSON。 |
事件屬性
代表事件屬性 JSON。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
additionalData
|
additionalData | IncidentAdditionalData |
事件其他數據屬性包。 |
|
事件分類
|
classification | string |
事件關閉的原因 |
|
事件分類註解
|
classificationComment | string |
描述事件關閉的原因 |
|
事件分類原因
|
classificationReason | string |
事件關閉的分類原因 |
|
事件建立時間 UTC
|
createdTimeUtc | date-time |
事件建立的時間 |
|
事件描述
|
description | string |
事件的描述 |
|
事件首次活動時間 UTC
|
firstActivityTimeUtc | date-time |
事件中第一個活動的時間 |
|
事件 URL
|
incidentUrl | string |
Azure 入口網站中事件的深層連結 URL |
|
提供者事件識別碼
|
providerIncidentId | string |
事件提供者指派的事件標識碼 |
|
事件哨兵 ID
|
incidentNumber | integer |
用來識別 Microsoft Sentinel 中事件的序號。 |
|
事件上次活動時間 UTC
|
lastActivityTimeUtc | date-time |
事件中最後一個活動的時間 |
|
事件嚴重性
|
severity | string |
事件的嚴重性 |
|
事件狀態
|
status | string |
事件的狀態 |
|
事件標題
|
title | string |
事件的標題 |
|
事件標籤
|
labels | array of IncidentLabel |
與此事件相關聯的標籤清單 |
|
事件上次修改時間 UTC
|
lastModifiedTimeUtc | date-time |
上次更新事件的時間 |
|
事件擁有者
|
owner | IncidentOwnerInfo |
事件指派給使用者的相關信息 |
|
事件相關分析規則識別碼
|
relatedAnalyticRuleIds | array of string |
與事件相關的分析規則資源標識碼清單 |
|
評論
|
Comments | array of IncidentComment |
對此事件的評論列表。 |
FullIncidentProperties
代表事件屬性 JSON。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
additionalData
|
additionalData | IncidentAdditionalData |
事件其他數據屬性包。 |
|
事件分類
|
classification | string |
事件關閉的原因 |
|
事件分類註解
|
classificationComment | string |
描述事件關閉的原因 |
|
事件分類原因
|
classificationReason | string |
事件關閉的分類原因 |
|
事件建立時間 UTC
|
createdTimeUtc | date-time |
事件建立的時間 |
|
事件描述
|
description | string |
事件的描述 |
|
事件首次活動時間 UTC
|
firstActivityTimeUtc | date-time |
事件中第一個活動的時間 |
|
事件 URL
|
incidentUrl | string |
Azure 入口網站中事件的深層連結 URL |
|
提供者事件識別碼
|
providerIncidentId | string |
事件提供者指派的事件標識碼 |
|
事件哨兵 ID
|
incidentNumber | integer |
用來識別 Microsoft Sentinel 中事件的序號。 |
|
事件上次活動時間 UTC
|
lastActivityTimeUtc | date-time |
事件中最後一個活動的時間 |
|
事件嚴重性
|
severity | string |
事件的嚴重性 |
|
事件狀態
|
status | string |
事件的狀態 |
|
事件標題
|
title | string |
事件的標題 |
|
事件標籤
|
labels | array of IncidentLabel |
與此事件相關聯的標籤清單 |
|
事件上次修改時間 UTC
|
lastModifiedTimeUtc | date-time |
上次更新事件的時間 |
|
事件擁有者
|
owner | IncidentOwnerInfo |
事件指派給使用者的相關信息 |
|
事件相關分析規則識別碼
|
relatedAnalyticRuleIds | array of string |
與事件相關的分析規則資源標識碼清單 |
|
評論
|
Comments | array of IncidentComment |
對此事件的評論列表。 |
|
警示
|
Alerts | array of SecurityAlert |
與此事件相關的警示清單。 |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
與此事件相關的書籤清單。 |
|
實體或單位
|
relatedEntities | string |
與事件相關的實體清單,可以包含不同類型的實體 |
事件事件通知
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
更新的欄位名稱
|
incidentUpdates.updatedFields | array of string |
事件中更新的欄位名稱 |
|
更新時間
|
incidentUpdates.updatedTime | date-time |
事件更新事件的時間 |
|
來源
|
incidentUpdates.updatedBy.source | string |
更新事件的執行者:使用者、外部應用程式、劇本、自動化規則、Microsoft 365 Defender 或警示群組 |
|
名稱
|
incidentUpdates.updatedBy.name | string |
更新事件的使用者、應用程式、自動化規則或教戰手冊的名稱 |
|
事件警報
|
incidentUpdates.alerts | array of SecurityAlert |
新增至此事件的警示清單。 |
|
事件標籤
|
incidentUpdates.labels | array of IncidentLabel |
新增至此事件的標籤清單 |
|
事件評論
|
incidentUpdates.comments | array of IncidentComment |
此事件新增的評論清單。 |
|
事件策略
|
incidentUpdates.tactics | array of AttackTactic |
與事件相關聯的策略 |
|
訂用帳戶識別碼
|
workspaceInfo.SubscriptionId | string |
Microsoft Sentinel 工作區的訂用帳戶識別碼 |
|
資源組名
|
workspaceInfo.ResourceGroupName | string |
Microsoft Sentinel 工作區的資源群組 |
|
工作區名稱
|
workspaceInfo.WorkspaceName | string |
Microsoft Sentinel 工作區名稱 |
|
工作區識別碼
|
workspaceId | string |
事件的工作區識別碼。 |
|
物件
|
object | FullIncident |
依 ARM ID 取得事件 |
CreatedByUserInfo (使用者資訊建立者)
更新dBy用戶信息
Alert
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
產品名稱
|
ProductName | string |
發佈此警示的產品名稱 |
|
警示類型
|
AlertType | string |
類型警示的名稱 |
|
開始時間(UTC)
|
StartTimeUtc | date-time |
警示的開始時間,偵測到第一個貢獻事件時 |
|
結束時間(UTC)
|
EndTimeUtc | date-time |
警示的結束時間,偵測到最後一個貢獻事件時 |
|
產生時間 (UTC)
|
TimeGenerated | date-time |
產生警示的時間 |
|
Severity
|
Severity | string |
提供者報告的警示嚴重性 |
|
提供者警示識別碼
|
ProviderAlertId | string |
提供者所設定之特定警示執行個體的唯一識別碼 |
|
系統警示標識碼
|
SystemAlertId | string |
特定警示執行個體的唯一識別碼 |
|
警示顯示名稱
|
AlertDisplayName | string |
警示的顯示名稱 |
|
Description
|
Description | string |
警示描述 |
|
實體或單位
|
Entities | string |
與警示相關的實體清單,可以包含多個實體類型 |
|
擴充屬性
|
ExtendedProperties | string |
將呈現給使用者的欄位清單 |
|
工作區識別碼
|
WorkspaceId | string |
警示工作區的識別碼 |
|
資源群組
|
WorkspaceResourceGroup | string |
警示資源群組 |
|
訂用帳戶識別碼
|
WorkspaceSubscriptionId | string |
警示訂閱的識別碼 |
|
延伸連結
|
ExtendedLinks | array of object |
與警示相關的連結清單,可以包含多種類型 |
事件註解
代表事件註解項目
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
ID
|
id | string |
註解的完整 ARM ID。 |
|
名稱
|
name | string |
註解的 ARM 名稱 (GUID) |
|
properties
|
properties | IncidentCommentProperties |
代表事件註解屬性 JSON。 |
IncidentComment屬性
事件任務
代表事件工作項目
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
ID
|
id | string |
工作的完整 ARM 識別碼。 |
|
名稱
|
name | string |
工作的 ARM 名稱 |
|
properties
|
properties | IncidentTaskProperties |
代表事件工作內容。 |
事件任務屬性
事件關係
代表事件關係
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
ID
|
id | string |
事件關聯的完整 ARM ID。 |
|
名稱
|
name | string |
事件關係的 ARM 名稱 |
|
properties
|
properties | IncidentRelationProperties |
代表事件關聯性屬性 JSON。 |
IncidentRelation屬性
Watchlist
代表 Azure Security Insights 中的監看清單。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
properties
|
properties | WatchlistProperties |
描述監視清單屬性 |
觀察列表V2
代表 Azure Security Insights 中的監看清單。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
properties
|
properties | WatchlistPropertiesV2 |
描述監視清單屬性 |
監視清單屬性
描述監視清單屬性
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
監視清單識別碼
|
watchlistId | string |
關注清單的識別碼 (Guid) |
|
顯示名稱
|
displayName | string |
關注清單的顯示名稱 |
|
提供者
|
provider | string |
關注清單的提供者 |
|
來源
|
source | string |
監視清單的來源 |
|
創建
|
created | date-time |
建立監看清單的時間 |
|
更新
|
updated | date-time |
上次更新監看清單的時間 |
|
由...創建
|
createdBy | UserInfo |
做出某些動作的用戶資訊 |
|
updatedBy (更新者)
|
updatedBy | UserInfo |
做出某些動作的用戶資訊 |
|
描述
|
description | string |
關注清單的描述 |
|
監視清單類型
|
watchlistType | string |
關注清單的類型 |
|
watchlist別名
|
watchlistAlias | string |
關注清單的別名 |
|
已刪除
|
isDeleted | boolean |
旗標,指出是否刪除監看清單 |
|
labels
|
labels | array of Label |
此關注清單的相關標籤清單 |
|
預設持續時間
|
defaultDuration | duration |
關注清單的預設持續時間(以 ISO 8601 持續時間格式表示) |
|
tenantId
|
tenantId | string |
關注清單所屬的tenantId |
|
NumberOfLinesToSkip (跳過的行數)
|
numberOfLinesToSkip | integer |
要略過標頭之前 csv/tsv 內容中的行數 |
|
原始內容
|
rawContent | string |
原始內容,表示要建立的監看清單專案。 如果是 csv/tsv 內容類型,則會是端點所剖析的檔案內容 |
|
itemsSearchKey
|
itemsSearchKey | string |
使用監看清單與其他數據聯結時,搜尋索引鍵可用來優化查詢效能。 例如,啟用IP位址為指定 SearchKey 欄位的數據行,然後在依IP位址聯結至其他事件數據時,使用此字位作為索引鍵欄位。 |
|
內容類型
|
contentType | string |
原始內容的內容類型。 範例:text/csv 或 text/tsv |
|
上傳狀態
|
uploadStatus | string |
Watchlist 上傳的狀態:新增、輸入或完成。 Pls 注意:當關注清單上傳狀態等於 InProgress 時,無法刪除監看清單 |
|
監視清單項目計數
|
watchlistItemsCount | integer |
監視清單中的監視清單項目數 |
監視清單屬性V2
描述監視清單屬性
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
監視清單識別碼
|
watchlistId | string |
關注清單的識別碼 (Guid) |
|
顯示名稱
|
displayName | string |
關注清單的顯示名稱 |
|
提供者
|
provider | string |
關注清單的提供者 |
|
來源
|
source | string |
監看清單的檔名,稱為「來源」 |
|
sourceType
|
sourceType | string |
關注清單的sourceType |
|
創建
|
created | date-time |
建立監看清單的時間 |
|
更新
|
updated | date-time |
上次更新監看清單的時間 |
|
由...創建
|
createdBy | UserInfo |
做出某些動作的用戶資訊 |
|
updatedBy (更新者)
|
updatedBy | UserInfo |
做出某些動作的用戶資訊 |
|
描述
|
description | string |
關注清單的描述 |
|
監視清單類型
|
watchlistType | string |
關注清單的類型 |
|
watchlist別名
|
watchlistAlias | string |
關注清單的別名 |
|
已刪除
|
isDeleted | boolean |
旗標,指出是否刪除監看清單 |
|
labels
|
labels | array of Label |
此關注清單的相關標籤清單 |
|
預設持續時間
|
defaultDuration | duration |
關注清單的預設持續時間(以 ISO 8601 持續時間格式表示) |
|
tenantId
|
tenantId | string |
關注清單所屬的tenantId |
|
NumberOfLinesToSkip (跳過的行數)
|
numberOfLinesToSkip | integer |
要略過標頭之前 csv/tsv 內容中的行數 |
|
原始內容
|
rawContent | string |
原始內容,表示要建立的監看清單專案。 如果是 csv/tsv 內容類型,則會是端點所剖析的檔案內容 |
|
itemsSearchKey
|
itemsSearchKey | string |
使用監看清單與其他數據聯結時,搜尋索引鍵可用來優化查詢效能。 例如,啟用IP位址為指定 SearchKey 欄位的數據行,然後在依IP位址聯結至其他事件數據時,使用此字位作為索引鍵欄位。 |
|
內容類型
|
contentType | string |
原始內容的內容類型。 範例:text/csv 或 text/tsv |
|
上傳狀態
|
uploadStatus | string |
Watchlist 上傳的狀態:新增、輸入或完成。 Pls 注意:當關注清單上傳狀態等於 InProgress 時,無法刪除監看清單 |
監視清單項目清單
監視清單項目
代表 Azure 安全性深入解析中的 WatchlistItem。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
WatchlistItem 完整 ARM ID
|
id | string |
監視清單項目的完整 ID。 |
|
WatchlistItem 唯一 ID
|
name | string |
對應至 WatchlistItem ID (GUID) |
|
WatchlistItem etag
|
etag | string |
對應於etag(GUID) |
|
Watchlist項目類型
|
type | string |
對應至 WatchlistItem 類型 |
|
value
|
value | object |
監看清單專案實體詳細資料。 |
Bookmark
代表 Azure Security Insights 中的書籤。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
properties
|
properties | BookmarkProperties |
描述書籤屬性 |
書籤清單
列出所有書籤。
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
nextLink
|
nextLink | string |
URL 來擷取下一組案例。 |
|
value
|
value | array of Bookmark |
書籤的陣列。 |
書籤屬性
描述書籤屬性
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
創建
|
created | date-time |
建立書籤的時間 |
|
由...創建
|
createdBy | UserInfo |
做出某些動作的用戶資訊 |
|
顯示名稱
|
displayName | string |
書籤的顯示名稱 |
|
labels
|
labels | array of Label |
與這個書籤相關的標籤清單 |
|
附註
|
notes | string |
書籤的附注 |
|
查詢
|
query | string |
書籤的查詢。 |
|
查詢結果
|
queryResult | string |
書籤的查詢結果。 |
|
更新
|
updated | date-time |
上次更新書籤的時間 |
|
updatedBy (更新者)
|
updatedBy | UserInfo |
做出某些動作的用戶資訊 |
|
事件時間
|
eventTime | date-time |
書籤事件時間 |
|
查詢開始時間
|
queryStartTime | date-time |
查詢的開始時間 |
|
查詢結束時間
|
queryEndTime | date-time |
查詢的結束時間 |
|
事件資訊
|
incidentInfo | Incident |
代表 Azure 安全性深入解析中的事件。 |
UserInfo
做出某些動作的用戶資訊
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
電子郵件
|
string |
用戶的電子郵件。 |
|
|
名稱
|
name | string |
用戶的名稱。 |
|
objectId
|
objectId | uuid |
用戶的物件識別碼。 |
標籤
字串
這是基本資料類型「string」。