Incidents - Create Or Update
建立或更新事件。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2025-09-01URI 參數
| 名稱 | 位於 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
事件 ID |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
資源群組的名稱。 名稱不區分大小寫。 |
|
subscription
|
path | True |
string (uuid) |
目標訂用帳戶的標識碼。 此值必須是 UUID。 |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
工作區的名稱。 |
|
api-version
|
query | True |
string minLength: 1 |
用於此作業的 API 版本。 |
要求本文
| 名稱 | 必要 | 類型 | Description |
|---|---|---|---|
| properties.severity | True |
事件的嚴重性 |
|
| properties.status | True |
事件的狀態 |
|
| properties.title | True |
string |
事件名稱 |
| etag |
string |
Azure 資源的 Etag |
|
| properties.classification |
事件關閉的原因 |
||
| properties.classificationComment |
string |
描述事件關閉的原因 |
|
| properties.classificationReason |
事件關閉的分類原因 |
||
| properties.description |
string |
事件描述 |
|
| properties.firstActivityTimeUtc |
string (date-time) |
事件中第一個活動的時間 |
|
| properties.labels |
與此事件相關的標籤清單 |
||
| properties.lastActivityTimeUtc |
string (date-time) |
事件中最後一次活動的時間 |
|
| properties.owner |
描述事件指派給的使用者 |
回應
| 名稱 | 類型 | Description |
|---|---|---|
| 200 OK |
確定,操作順利完成 |
|
| 201 Created |
已建立 |
|
| Other Status Codes |
描述作業失敗原因的錯誤回應。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
類型:
oauth2
Flow:
implicit
授權 URL:
https://login.microsoftonline.com/common/oauth2/authorize
範圍
| 名稱 | Description |
|---|---|
| user_impersonation | 模擬您的用戶帳戶 |
範例
Creates or updates an incident.
範例要求
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-09-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
範例回覆
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}定義
| 名稱 | Description |
|---|---|
|
Attack |
此警示規則所建立警示的嚴重性。 |
|
Cloud |
錯誤回應結構。 |
|
Cloud |
錯誤詳細數據。 |
|
created |
建立資源的身分識別類型。 |
| Incident |
代表 Azure 安全性深入解析中的事件。 |
|
Incident |
事件附加資料屬性包。 |
|
Incident |
事件關閉的原因 |
|
Incident |
事件關閉的分類原因 |
|
Incident |
代表事件標籤 |
|
Incident |
標籤的類型 |
|
Incident |
事件指派給使用者的相關信息 |
|
Incident |
事件的嚴重性 |
|
Incident |
事件的狀態 |
|
Owner |
事件指派給的擁有者類型。 |
|
system |
與建立和上次修改資源相關的元數據。 |
AttackTactic
此警示規則所建立警示的嚴重性。
| 值 | Description |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
錯誤回應結構。
| 名稱 | 類型 | Description |
|---|---|---|
| error |
錯誤資料 |
CloudErrorBody
錯誤詳細數據。
| 名稱 | 類型 | Description |
|---|---|---|
| code |
string |
錯誤的識別碼。 程序代碼是不變的,而且是要以程序設計方式取用。 |
| message |
string |
描述錯誤的訊息,適用於在使用者介面中顯示。 |
createdByType
建立資源的身分識別類型。
| 值 | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Incident
代表 Azure 安全性深入解析中的事件。
| 名稱 | 類型 | Description |
|---|---|---|
| etag |
string |
Azure 資源的 Etag |
| id |
string (arm-id) |
資源的完整資源標識碼。 例如 “/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
| name |
string |
資源的名稱 |
| properties.additionalData |
有關該事件的其他數據 |
|
| properties.classification |
事件關閉的原因 |
|
| properties.classificationComment |
string |
描述事件關閉的原因 |
| properties.classificationReason |
事件關閉的分類原因 |
|
| properties.createdTimeUtc |
string (date-time) |
事件的建立時間 |
| properties.description |
string |
事件描述 |
| properties.firstActivityTimeUtc |
string (date-time) |
事件中第一個活動的時間 |
| properties.incidentNumber |
integer (int32) |
序號 |
| properties.incidentUrl |
string |
Azure 入口網站中事件的深層連結 URL |
| properties.labels |
與此事件相關的標籤清單 |
|
| properties.lastActivityTimeUtc |
string (date-time) |
事件中最後一次活動的時間 |
| properties.lastModifiedTimeUtc |
string (date-time) |
上次更新事件的時間 |
| properties.owner |
描述事件指派給的使用者 |
|
| properties.providerIncidentId |
string |
事件提供者指派的事件識別碼 |
| properties.providerName |
string |
產生事件的來源提供者名稱 |
| properties.relatedAnalyticRuleIds |
string[] (arm-id) |
與事件相關的分析規則的資源識別碼清單 |
| properties.severity |
事件的嚴重性 |
|
| properties.status |
事件的狀態 |
|
| properties.title |
string |
事件名稱 |
| systemData |
包含 createdBy 和 modifiedBy 資訊的 Azure Resource Manager 中繼資料。 |
|
| type |
string |
資源的類型。 例如「Microsoft.Compute/virtualMachines」或「Microsoft.Storage/storageAccounts」 |
IncidentAdditionalData
事件附加資料屬性包。
| 名稱 | 類型 | Description |
|---|---|---|
| alertProductNames |
string[] |
事件中警示的產品名稱清單 |
| alertsCount |
integer (int32) |
事件中的警示數目 |
| bookmarksCount |
integer (int32) |
事件中的書籤數目 |
| commentsCount |
integer (int32) |
事件中的評論數 |
| providerIncidentUrl |
string |
Microsoft 365 Defender 入口網站中事件的提供者事件 URL |
| tactics |
與事件相關的策略 |
IncidentClassification
事件關閉的原因
| 值 | Description |
|---|---|
| Undetermined |
事件分類尚未確定 |
| TruePositive |
事件是真正的積極因素 |
| BenignPositive |
事件呈良性陽性 |
| FalsePositive |
事件為誤報 |
IncidentClassificationReason
事件關閉的分類原因
| 值 | Description |
|---|---|
| SuspiciousActivity |
分類原因是可疑活動 |
| SuspiciousButExpected |
分類原因可疑,但意料之中 |
| IncorrectAlertLogic |
分類原因是警示邏輯不正確 |
| InaccurateData |
分類原因是數據不準確 |
IncidentLabel
代表事件標籤
| 名稱 | 類型 | Description |
|---|---|---|
| labelName |
string |
標籤名稱 |
| labelType |
標籤的類型 |
IncidentLabelType
標籤的類型
| 值 | Description |
|---|---|
| User |
使用者手動建立的標籤 |
| AutoAssigned |
系統自動建立的標籤 |
IncidentOwnerInfo
事件指派給使用者的相關信息
| 名稱 | 類型 | Description |
|---|---|---|
| assignedTo |
string |
事件指派給的用戶名稱。 |
|
string |
事件指派給之用戶的電子郵件。 |
|
| objectId |
string (uuid) |
事件指派給之使用者的物件標識符。 |
| ownerType |
事件指派給的擁有者類型。 |
|
| userPrincipalName |
string |
事件指派給之使用者的用戶主體名稱。 |
IncidentSeverity
事件的嚴重性
| 值 | Description |
|---|---|
| High |
高嚴重性 |
| Medium |
中等嚴重性 |
| Low |
低嚴重性 |
| Informational |
資訊嚴重性 |
IncidentStatus
事件的狀態
| 值 | Description |
|---|---|
| New |
目前未處理的作用中事件 |
| Active |
正在處理的進行中事件 |
| Closed |
非作用中事件 |
OwnerType
事件指派給的擁有者類型。
| 值 | Description |
|---|---|
| Unknown |
事件擁有者類型未知 |
| User |
事件擁有者類型是 AAD 使用者 |
| Group |
事件擁有者類型是 AAD 群組 |
systemData
與建立和上次修改資源相關的元數據。
| 名稱 | 類型 | Description |
|---|---|---|
| createdAt |
string (date-time) |
資源建立的時間戳(UTC)。 |
| createdBy |
string |
建立資源的身分識別。 |
| createdByType |
建立資源的身分識別類型。 |
|
| lastModifiedAt |
string (date-time) |
上次修改的資源時間戳 (UTC) |
| lastModifiedBy |
string |
上次修改資源的身分識別。 |
| lastModifiedByType |
上次修改資源的身分識別類型。 |