Microsoft Sentinel (Pré-visualização)
SIEM nativo da nuvem com uma IA integrada para que você possa se concentrar no que é mais importante
Este conector está disponível nos seguintes produtos e regiões:
| Serviço | Class | Regiões |
|---|---|---|
| Aplicações Lógicas | Standard | Todas as regiões do Logic Apps |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL |
Suporte do Microsoft LogicApps |
| Metadados do conector | |
|---|---|
| Editora | Microsoft |
| Sítio Web | https://azure.microsoft.com/services/azure-sentinel/ |
Conector Microsoft Sentinel
Conector em profundidade
Saiba mais sobre como usar esse conector:
- Autenticar playbooks no Azure Sentinel
- Use gatilhos e ações em playbooks
- Tutorial: Usar playbooks com regras de automação no Microsoft Sentinel
Authentication
Os gatilhos e ações no conector Mcirosoft Sentinel podem operar em nome de qualquer identidade que tenha as permissões necessárias (leitura e/ou gravação) no espaço de trabalho relevante. O conector suporta vários tipos de identidade:
- Identidade gerenciada (visualização)
- Usuário do Microsoft Entra ID
- Entidade de serviço (aplicativo Microsoft Entra ID)
Permissões necessárias
| Funções / Componentes do conector | Acionadores | Ações "Get" | Incidente de atualização, Adicionar um comentário |
|---|---|---|---|
| Leitor Microsoft Sentinel | ✓ | ✓ | ✗ |
| Microsoft Sentinel Responder/Colaborador | ✓ | ✓ | ✓ |
Saiba mais sobre permissões no Microsoft Sentinel.
Saiba como usar as diferentes opções de autenticação.
Problemas conhecidos e limitações
Não é possível acionar um aplicativo lógico chamado por um gatilho do Microsoft Sentinel usando o botão "Executar gatilho"
Um usuário não pode usar o botão Executar gatilho na folha Visão geral do serviço Aplicativos Lógicos para disparar um manual do Microsoft Sentinel.
Os Aplicativos Lógicos do Azure são acionados por uma chamada POST REST, cujo corpo é a entrada para o gatilho. Os aplicativos lógicos que começam com gatilhos do Microsoft Sentinel esperam ver o conteúdo de um alerta ou incidente do Microsoft Sentinel no corpo da chamada. Quando a chamada vem da folha Visão geral de aplicativos lógicos, o corpo da chamada está vazio e, portanto, um erro é gerado.
Estas são as únicas maneiras adequadas de acionar os playbooks do Microsoft Sentinel:
- Gatilho manual no Microsoft Sentinel
- Resposta automatizada de uma regra de análise (diretamente ou por meio de uma regra de automação) no Microsoft Sentinel
- Use o botão "Reenviar" em uma folha de execução existente do Logic Apps
- Chame o ponto de extremidade do Logic Apps diretamente (anexando um alerta/incidente como o corpo)
Atualizando o mesmo incidente em paralelo Para cada loops
Para cada loops são definidos por padrão para serem executados em paralelo, mas podem ser facilmente definidos para serem executados sequencialmente. Se um para cada loop pode atualizar o mesmo incidente do Microsoft Sentinel em iterações separadas, ele deve ser configurado para ser executado sequencialmente.
A restauração da consulta original do alerta não é suportada atualmente por meio de aplicativos lógicos
O uso do conector Azure Monitor Logs para recuperar os eventos capturados pela regra de análise de alerta agendada não é consistentemente confiável.
- Os Logs do Azure Monitor não dão suporte à definição de um intervalo de tempo personalizado. Restaurar exatamente os mesmos resultados da consulta requer a definição do mesmo intervalo de tempo exato que na consulta original.
- Os alertas podem demorar a aparecer no espaço de trabalho do Log Analytics depois que a regra acionar o playbook.
Recursos disponíveis
Documentos do Microsoft Sentinel
- Automatização avançada com playbooks
- Tutorial: Usar playbooks com regras de automação no Microsoft Sentinel
- Autenticar playbooks em Microsoft Sentinel
- Use gatilhos e ações em playbooks
Referências do Microsoft Sentinel
Azure Logic Apps
- Cenários, exemplos e instruções passo a passo para Aplicativos Lógicos do Azure
- Expressões de aplicativos lógicos
A criar uma ligação
O conector suporta os seguintes tipos de autenticação:
| Predefinição | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: Todas as regiões
Parâmetros para criar conexão.
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Limites de Limitação
| Name | Chamadas | Período de Renovação |
|---|---|---|
| Chamadas de API por conexão | 600 | 60 segundos |
Ações
| Adicionar alerta a incidente |
Adicione um alerta a um incidente existente. O alerta junta-se ao incidente como qualquer outro alerta e será mostrado no portal. |
| Adicionar comentário ao incidente (V2) |
Adiciona comentário ao incidente selecionado |
| Adicionar comentário ao incidente (V3) |
Adiciona comentário ao incidente selecionado |
| Adicionar comentário ao incidente [DEPRECATED] |
Esta ação foi preterida. Em vez disso, use Adicionar comentário ao incidente (V3).
|
| Adicionar rótulos a incidentes (preterido) [PRETERIDO] |
Adiciona rótulos ao incidente selecionado |
| Adicionar tarefa a incidente |
Adiciona uma tarefa a um incidente existente |
| Alerta – Obter incidente |
Devolve o incidente associado ao alerta selecionado |
| Alerta – Obter incidente |
Devolve o incidente associado ao alerta selecionado |
| Alterar a gravidade do incidente (preterido) [PRETERIDO] |
altera a gravidade do incidente selecionado |
| Alterar descrição do incidente (V2) (preterido) [PRETERIDO] |
Altera a descrição do incidente selecionado |
| Alterar descrição do incidente [DEPRECATED] |
Altera a descrição do incidente selecionado |
| Alterar o status do incidente (preterido) [PRETERIDO] |
Altera o status do incidente selecionado |
| Alterar título do incidente (V2) (preterido) [PRETERIDO] |
Altera o título do incidente selecionado |
| Alterar título do incidente [DEPRECATED] |
Altera o título do incidente selecionado |
| ASI trigger unsubscribe [DEPRECATED] |
Cancelar inscrição |
| Criar incidente |
Criar incidente com campos fornecidos |
| Entidades - Obter DNS |
Retorna a lista de registros DNS associados ao alerta |
| Entidades – Obter Anfitriões |
Retorna a lista de hosts associados ao alerta |
| Entidades – Obter Contas |
Devolve a lista de contas associadas ao alerta |
|
Entidades – Obter File |
Devolve a lista de Hashes de Ficheiros associados ao alerta |
| Entidades – Obter IPs |
Retorna a lista de IPs associados ao alerta |
| Entidades – Obter URLs |
Retorna a lista de URLs associados ao alerta |
| Favoritos (V2) - Criar um novo marcador (entrada json) (Pré-visualização) |
Favoritos (V2) - Crie um novo marcador válido (json). |
| Favoritos (V3) - Cria um novo marcador com campos separados (Pré-visualização) |
Favoritos (V3) - Crie um novo marcador. |
| Favoritos - Excluir um marcador |
Favoritos - Excluir um marcador |
| Favoritos - Obtenha um marcador |
Favoritos - Obter um favorito por Id |
| Favoritos - Obter todos os favoritos |
Favoritos - Obter todos os favoritos para um determinado espaço de trabalho |
| Incidente de atualização |
Atualizar incidente com campos fornecidos |
| Inteligência de ameaças - Upload de objetos STIX (visualização) |
Carregue objetos STIX em massa usando a API de carregamento de inteligência de ameaças. |
| Listas de observação - Adicionar um novo item da lista de observação |
Listas de observação - Adicionar um novo item da lista de observação |
| Listas de observação - Atualizar um item existente da lista de observação |
Listas de observação - Atualizar um item existente da lista de observação |
| Listas de observação - Crie uma lista de observação grande usando um Uri SAS |
Listas de observação - Crie uma lista de observação grande usando um Uri SAS |
| Listas de observação - Crie uma lista de observação grande usando um Uri SAS (V2) |
Listas de observação - Crie uma lista de observação grande usando um Uri SAS (V2) |
| Listas de observação - Crie uma nova lista de observação com dados (conteúdo bruto) |
Listas de observação - Crie uma nova lista de observação com dados (conteúdo bruto) |
| Listas de observação - Crie uma nova lista de observação com dados (conteúdo bruto) (V2) |
Listas de observação - Crie uma nova lista de observação com dados (conteúdo bruto) (V2) |
| Listas de observação - Excluir um item da lista de observação |
Listas de observação - Excluir um item da lista de observação |
| Listas de observação - Excluir um item da lista de observação (V2) |
Listas de observação - Excluir um item da lista de observação (V2) |
| Listas de observação - Excluir uma lista de observação |
Listas de observação - Excluir uma lista de observação |
| Listas de observação - Excluir uma lista de observação (V2) |
Exclui uma determinada Lista de observação por alias. |
| Listas de observação - Obter todos os itens da lista de observação para uma determinada lista de observação |
Listas de observação - Obter todos os itens da lista de observação para uma determinada lista de observação |
| Listas de observação - Obter uma lista de observação por alias |
Listas de observação - Obter uma lista de observação por alias |
| Marcadores - Cria um novo marcador (Pré-visualização) |
Favoritos - Cria um novo marcador. |
| Marcar uma tarefa como concluída |
Marcar uma tarefa como concluída |
| Obter incidente |
Obter um incidente por ID ARM |
| Remover alerta de incidente |
Remova um alerta de um incidente existente. |
| Remover rótulos de incidente (preterido) [PRETERIDO] |
Remove rótulos para o incidente selecionado |
| Threat Intelligence - Carregar indicadores de comprometimento (preterido) |
Threat Intelligence - Upload de indicadores de comprometimento |
| Threat Intelligence - Upload de indicadores de comprometimento (V2) (visualização) |
Carregue indicadores em massa usando a API de Indicadores de Upload de Inteligência de Ameaças. |
| Watchlists - Obter todos os itens da Watchlist para uma determinada Watchlist (V2) |
Watchlists - Obter todos os itens da Watchlist para uma determinada Watchlist (V2) |
| Watchlists - Obter um item da lista de observação por ID (guid) |
Listas de observação - Obter um item da lista de observação |
Adicionar alerta a incidente
Adicione um alerta a um incidente existente. O alerta junta-se ao incidente como qualquer outro alerta e será mostrado no portal.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM do incidente
|
incidentArmId | True | string |
ID do ARM do incidente. Recuperar a partir do gatilho de incidente, Alerta - Obter ação de incidente ou consulta de Logs do Azure Monitor. |
|
ID de alerta do sistema
|
relatedResourceId | True | string |
ID de alerta do sistema que será adicionado / removido para / do incidente. Recupere da consulta Logs do Azure Monitor ou do Gatilho de Alerta. Por exemplo: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Devoluções
Representa uma relação de incidente
- Body
- IncidentRelation
Adicionar comentário ao incidente (V2)
Adiciona comentário ao incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
Especificar comentário
|
Value | True | string |
Valor do comentário |
Devoluções
- response
- string
Adicionar comentário ao incidente (V3)
Adiciona comentário ao incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM incidente
|
incidentArmId | True | string |
ID do ARM incidente |
|
Mensagem de comentário de incidente
|
message | True | html |
Mensagem de comentário de incidente |
Devoluções
Representa um item de comentário de incidente
- Comentário do incidente
- IncidentComment
Adicionar comentário ao incidente [DEPRECATED]
Esta ação foi preterida. Em vez disso, use Adicionar comentário ao incidente (V3).
Adiciona comentário ao incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
Especificar comentário de incidente
|
comment | True | string |
Comentário do incidente |
Devoluções
- response
- string
Adicionar rótulos a incidentes (preterido) [PRETERIDO]
Adiciona rótulos ao incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
etiqueta
|
Label | True | string |
etiqueta |
Devoluções
- response
- string
Adicionar tarefa a incidente
Adiciona uma tarefa a um incidente existente
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM incidente
|
incidentArmId | True | string |
ID do ARM incidente |
|
Title
|
taskTitle | True | string |
Título da tarefa |
|
Description
|
taskDescription | html |
Descrição da tarefa |
Devoluções
Representa um item de tarefa de incidente
- Tarefa de incidente
- IncidentTask
Alerta – Obter incidente
Devolve o incidente associado ao alerta selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar id de alerta
|
alertId | True | string |
ID de alerta do sistema |
Devoluções
Representa um incidente no Azure Security Insights.
- Body
- Incident
Alerta – Obter incidente
Devolve o incidente associado ao alerta selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar id de alerta
|
alertId | True | string |
ID de alerta do sistema |
Devoluções
- Body
- OldIncident
Alterar a gravidade do incidente (preterido) [PRETERIDO]
altera a gravidade do incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
Especificar a severidade
|
severity | True | string |
Valor de gravidade |
Devoluções
- response
- string
Alterar descrição do incidente (V2) (preterido) [PRETERIDO]
Altera a descrição do incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
Especificar descrição
|
Value | True | string |
Valor da descrição |
Devoluções
- response
- string
Alterar descrição do incidente [DEPRECATED]
Altera a descrição do incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
Especificar descrição
|
fieldValue | True | string |
Valor da descrição |
Devoluções
- response
- string
Alterar o status do incidente (preterido) [PRETERIDO]
Altera o status do incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
Especificar estado
|
status | True | string |
Valor de status |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Esquema dinâmico do alterador de status do incidente |
Devoluções
- response
- string
Alterar título do incidente (V2) (preterido) [PRETERIDO]
Altera o título do incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
Especificar título
|
Value | True | string |
Valor do título |
Devoluções
- response
- string
Alterar título do incidente [DEPRECATED]
Altera o título do incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
Especificar título
|
fieldValue | True | string |
Valor do título |
Devoluções
- response
- string
ASI trigger unsubscribe [DEPRECATED]
Criar incidente
Criar incidente com campos fornecidos
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Selecionar subscrição |
|
Grupo de Recursos
|
resourceGroup | True | string |
Selecionar grupo de recursos |
|
Nome do espaço de trabalho
|
workspaceName | True | string |
Selecionar espaço de trabalho |
|
Especificar campos de incidente
|
body | True | dynamic |
Campos de incidentes |
Devoluções
Representa um incidente no Azure Security Insights.
- Body
- Incident
Entidades - Obter DNS
Retorna a lista de registros DNS associados ao alerta
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluções
Uma lista de domínios DNS associados ao alerta
- Body
- BatchResponseDNS
Entidades – Obter Anfitriões
Retorna a lista de hosts associados ao alerta
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluções
Uma lista de anfitriões associados ao alerta
- Body
- BatchResponseHost
Entidades – Obter Contas
Devolve a lista de contas associadas ao alerta
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluções
Uma lista de contas associadas ao alerta
- Body
- BatchResponseAccount
Entidades – Obter FileHashes
Devolve a lista de Hashes de Ficheiros associados ao alerta
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluções
Uma lista de hashes de arquivo associados ao alerta
Entidades – Obter IPs
Retorna a lista de IPs associados ao alerta
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluções
Uma lista de IPs associados ao alerta
- Body
- BatchResponseIP
Entidades – Obter URLs
Retorna a lista de URLs associados ao alerta
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Lista de entidades
|
body | True | string |
Lista de entidades |
Devoluções
Uma lista de URLs associados ao alerta
- Body
- BatchResponseUrl
Favoritos (V2) - Criar um novo marcador (entrada json) (Pré-visualização)
Favoritos (V2) - Crie um novo marcador válido (json).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Nome de exibição do marcador
|
displayName | True | string |
O nome para exibição do marcador |
|
Consulta de favoritos
|
bookmarkQuery | True | string |
Consulta de favoritos (Ex. 'SecurityEvent | onde TimeGenerated > ago(1d) e TimeGenerated < ago(2d)') |
|
Resultado da consulta de favoritos
|
bookmarkQueryResult | True | string |
Resultado da consulta Bookmark (Ex. 'Resultado da consulta de Evento de Segurança') |
|
Marcar notas
|
bookmarkNotes | string |
Notas de marcador (Ex. 'Minhas notas de favorito') |
Devoluções
Representa um marcador no Azure Security Insights.
- Body
- Bookmark
Favoritos (V3) - Cria um novo marcador com campos separados (Pré-visualização)
Favoritos (V3) - Crie um novo marcador.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar nome de exibição do marcador
|
bookmarkName | True | string |
Nome de exibição do marcador (ex. 'Meu favorito') |
|
Especificar consulta de marcador
|
bookmarkQuery | True | string |
Consulta de favoritos (Ex. 'SecurityEvent | onde TimeGenerated > ago(1d) e TimeGenerated < ago(2d)') |
|
Especificar o resultado da consulta de favoritos
|
bookmarkQueryResult | True | string |
Resultado da consulta Bookmark (Ex. 'Resultado da consulta de Evento de Segurança') |
|
Especificar notas de marcador
|
bookmarkNotes | True | string |
Notas de marcador (Ex. 'Minhas notas de favorito') |
Devoluções
Representa um marcador no Azure Security Insights.
- Body
- Bookmark
Favoritos - Excluir um marcador
Favoritos - Excluir um marcador
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar ID do marcador
|
bookmarkId | True | string |
ID do marcador |
Devoluções
- response
- string
Favoritos - Obtenha um marcador
Favoritos - Obter um favorito por Id
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar ID do marcador
|
bookmarkId | True | string |
ID do marcador |
Devoluções
Representa um marcador no Azure Security Insights.
- Body
- Bookmark
Favoritos - Obter todos os favoritos
Favoritos - Obter todos os favoritos para um determinado espaço de trabalho
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar o número de marcadores
|
numberOfBookmarks | True | integer |
Número de Favoritos a devolver. 0 ou negativo para retornar todos os favoritos |
Devoluções
Liste todos os favoritos.
- Body
- BookmarkList
Incidente de atualização
Atualizar incidente com campos fornecidos
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar campos de incidente a serem atualizados
|
body | True | dynamic |
Campos de incidentes a atualizar |
Devoluções
Representa um incidente no Azure Security Insights.
- Body
- Incident
Inteligência de ameaças - Upload de objetos STIX (visualização)
Carregue objetos STIX em massa usando a API de carregamento de inteligência de ameaças.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
Devoluções
Resposta de Threat Intelligence Uplaod API. Estes são erros para objetos inválidos no corpo da solicitação.
Listas de observação - Adicionar um novo item da lista de observação
Listas de observação - Adicionar um novo item da lista de observação
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Devoluções
Representa um WatchlistItem no Azure Security Insights.
- Body
- WatchlistItem
Listas de observação - Atualizar um item existente da lista de observação
Listas de observação - Atualizar um item existente da lista de observação
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
|
Especificar ID do item da lista de observação
|
watchlistItemId | True | string |
Identificador exclusivo para um item da lista de observação (GUID) |
Devoluções
Representa um WatchlistItem no Azure Security Insights.
- Body
- WatchlistItem
Listas de observação - Crie uma lista de observação grande usando um Uri SAS
Listas de observação - Crie uma lista de observação grande usando um Uri SAS
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Devoluções
Representa uma lista de observação no Azure Security Insights.
- Body
- Watchlist
Listas de observação - Crie uma lista de observação grande usando um Uri SAS (V2)
Listas de observação - Crie uma lista de observação grande usando um Uri SAS (V2)
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Devoluções
Representa uma lista de observação no Azure Security Insights.
- Body
- WatchlistV2
Listas de observação - Crie uma nova lista de observação com dados (conteúdo bruto)
Listas de observação - Crie uma nova lista de observação com dados (conteúdo bruto)
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Devoluções
Representa uma lista de observação no Azure Security Insights.
- Body
- Watchlist
Listas de observação - Crie uma nova lista de observação com dados (conteúdo bruto) (V2)
Listas de observação - Crie uma nova lista de observação com dados (conteúdo bruto) (V2)
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Devoluções
Representa uma lista de observação no Azure Security Insights.
- Body
- WatchlistV2
Listas de observação - Excluir um item da lista de observação
Listas de observação - Excluir um item da lista de observação
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
|
Especificar ID do item da lista de observação
|
watchlistItemId | True | string |
Identificador exclusivo para um item da lista de observação (GUID) |
Devoluções
- response
- string
Listas de observação - Excluir um item da lista de observação (V2)
Listas de observação - Excluir um item da lista de observação (V2)
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
|
Especificar ID do item da lista de observação
|
watchlistItemId | True | string |
Identificador exclusivo para um item da lista de observação (GUID) |
Devoluções
- response
- string
Listas de observação - Excluir uma lista de observação
Listas de observação - Excluir uma lista de observação
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Devoluções
- response
- string
Listas de observação - Excluir uma lista de observação (V2)
Exclui uma determinada Lista de observação por alias.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Listas de observação - Obter todos os itens da lista de observação para uma determinada lista de observação
Listas de observação - Obter todos os itens da lista de observação para uma determinada lista de observação
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Devoluções
Liste todos os itens da lista de observação.
- response
- WatchlistItemList
Listas de observação - Obter uma lista de observação por alias
Listas de observação - Obter uma lista de observação por alias
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
Devoluções
Representa uma lista de observação no Azure Security Insights.
- Body
- Watchlist
Marcadores - Cria um novo marcador (Pré-visualização)
Favoritos - Cria um novo marcador.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar ID do marcador
|
bookmarkId | True | string |
ID do marcador |
|
criado
|
created | date-time |
A hora em que o marcador foi criado |
|
|
e-mail
|
string |
O e-mail do usuário. |
||
|
nome
|
name | string |
O nome do usuário. |
|
|
objectId
|
objectId | uuid |
O id do objeto do usuário. |
|
|
nome de exibição
|
displayName | True | string |
O nome para exibição do marcador |
|
labels
|
labels | string |
Etiqueta que será usada para marcar e filtrar. |
|
|
Observações
|
notes | string |
As notas do marcador |
|
|
consulta
|
query | True | string |
A consulta do marcador. |
|
queryResult
|
queryResult | string |
O resultado da consulta do marcador. |
|
|
atualizado
|
updated | date-time |
A última vez que o marcador foi atualizado |
|
|
hora do evento
|
eventTime | date-time |
A hora do evento do marcador |
|
|
queryStartTime
|
queryStartTime | date-time |
A hora de início da consulta |
|
|
queryEndTime
|
queryEndTime | date-time |
A hora de término da consulta |
|
|
ID do ARM do incidente
|
id | string |
O ID ARM qualificado completo do incidente. |
|
|
Nome do ARM do incidente
|
name | string |
O nome ARM do incidente (GUID) |
|
|
Contagem de alertas de incidentes
|
alertsCount | integer |
O número de alertas no incidente |
|
|
Contagem de marcadores de incidentes
|
bookmarksCount | integer |
O número de marcadores no incidente |
|
|
Contagem de comentários de incidentes
|
commentsCount | integer |
O número de comentários no incidente |
|
|
Nomes de produtos de Alerta de Incidente
|
alertProductNames | array of string |
Lista de nomes de produtos de alertas no incidente |
|
|
URL do incidente do provedor
|
providerIncidentUrl | string |
A URL para o incidente no portal do Microsoft Defender |
|
|
Número do incidente mesclado
|
mergedIncidentNumber | string |
O número do incidente no qual o incidente atual foi mesclado |
|
|
URL do incidente mesclado
|
mergedIncidentUrl | string |
A URL para o incidente no qual o incidente atual foi mesclado |
|
|
Táticas de incidentes
|
Incident Tactics | string |
Representa um item tático que está associado ao incidente |
|
|
Técnicas de Incidentes
|
techniques | array of string |
As técnicas associadas às táticas dos incidentes» |
|
|
Classificação de incidentes
|
classification | string |
O motivo pelo qual o incidente foi encerrado |
|
|
Comentário de Classificação de Incidentes
|
classificationComment | string |
Descreve o motivo pelo qual o incidente foi encerrado |
|
|
Motivo da Classificação de Incidentes
|
classificationReason | string |
O motivo da classificação do incidente foi encerrado com |
|
|
Incidente criado tempo utc
|
createdTimeUtc | date-time |
A hora em que o incidente foi criado |
|
|
Descrição do Incidente
|
description | string |
A descrição do incidente |
|
|
Incidente Primeira Atividade Hora UTC
|
firstActivityTimeUtc | date-time |
A hora da primeira atividade no incidente |
|
|
URL do incidente
|
incidentUrl | string |
A URL de link profundo para o incidente no portal do Azure |
|
|
ID do incidente do provedor
|
providerIncidentId | string |
A ID do incidente atribuída pelo provedor do incidente |
|
|
ID da Sentinela de Incidentes
|
incidentNumber | integer |
Um número sequencial usado para identificar o incidente no Microsoft Sentinel. |
|
|
Incidente Última Atividade Hora UTC
|
lastActivityTimeUtc | date-time |
A hora da última atividade no incidente |
|
|
Gravidade do incidente
|
severity | string |
A gravidade do incidente |
|
|
Estado do Incidente
|
status | string |
O estado do incidente |
|
|
Título do incidente
|
title | string |
O título do incidente |
|
|
Nome
|
labelName | True | string |
O nome da tag |
|
Tipo
|
labelType | string |
O tipo da tag |
|
|
Incidente Última modificação Hora UTC
|
lastModifiedTimeUtc | date-time |
A última vez que o incidente foi atualizado |
|
|
Email
|
string |
O e-mail do usuário ao qual o incidente é atribuído. |
||
|
Atribuído A
|
assignedTo | string |
O nome do usuário ao qual o incidente é atribuído. (campo atribuídoA) |
|
|
IdentificadorDoObjeto
|
objectId | uuid |
A ID do objeto do usuário ao qual o incidente é atribuído. |
|
|
Nome Principal do Utilizador
|
userPrincipalName | string |
O nome principal do usuário ao qual o incidente é atribuído. |
|
|
Ids de regra analítica relacionada a incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de ids de recursos de regras analíticas relacionadas ao incidente |
|
|
ID
|
id | string |
O ID ARM qualificado completo do comentário. |
|
|
Nome
|
name | string |
O nome ARM do comentário (GUID) |
|
|
propriedades
|
properties |
Representa as propriedades de comentário de incidente JSON. |
Devoluções
Representa um marcador no Azure Security Insights.
- Body
- Bookmark
Marcar uma tarefa como concluída
Marcar uma tarefa como concluída
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM da tarefa
|
taskArmId | True | string |
ID do ARM da tarefa |
Devoluções
Representa um item de tarefa de incidente
- Tarefa de incidente
- IncidentTask
Obter incidente
Obter um incidente por ID ARM
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM incidente
|
incidentArmId | True | string |
ID do ARM incidente |
Devoluções
Representa um incidente no Azure Security Insights.
- Body
- Incident
Remover alerta de incidente
Remova um alerta de um incidente existente.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do ARM do incidente
|
incidentArmId | True | string |
ID do ARM do incidente. Recuperar a partir do gatilho de incidente, Alerta - Obter ação de incidente ou consulta de Logs do Azure Monitor. |
|
ID de alerta do sistema
|
relatedResourceId | True | string |
ID de alerta do sistema que será adicionado / removido para / do incidente. Recupere da consulta Logs do Azure Monitor ou do Gatilho de Alerta. Por exemplo: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Devoluções
- response
- string
Remover rótulos de incidente (preterido) [PRETERIDO]
Remove rótulos para o incidente selecionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Identificador
|
identifier | True | string |
Incidente / alerta |
|
Especificar alerta/incidente
|
id | True | string |
Por favor, forneça o número do incidente / ID do alerta |
|
etiqueta
|
Label | True | string |
etiqueta |
Devoluções
- response
- string
Threat Intelligence - Carregar indicadores de comprometimento (preterido)
Threat Intelligence - Upload de indicadores de comprometimento
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
Devoluções
Resposta de Threat Intelligence Uplaod Indicators.
Threat Intelligence - Upload de indicadores de comprometimento (V2) (visualização)
Carregue indicadores em massa usando a API de Indicadores de Upload de Inteligência de Ameaças.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
Devoluções
Resposta de Threat Intelligence Uplaod API. Estes são erros para objetos inválidos no corpo da solicitação.
Watchlists - Obter todos os itens da Watchlist para uma determinada Watchlist (V2)
Watchlists - Obter todos os itens da Watchlist para uma determinada Watchlist (V2)
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
|
Pular token
|
skipToken | string |
Pular token para o próximo conjunto de 100 itens a serem devolvidos |
Devoluções
Liste todos os itens da lista de observação.
- response
- WatchlistItemList
Watchlists - Obter um item da lista de observação por ID (guid)
Listas de observação - Obter um item da lista de observação
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Especificar ID da subscrição
|
subscriptionId | True | string |
ID da subscrição |
|
Especificar grupo de recursos
|
resourceGroup | True | string |
Grupo de recursos |
|
Especificar ID do espaço de trabalho
|
workspaceId | True | string |
ID do espaço de trabalho |
|
Especificar alias da lista de observação
|
watchlistAlias | True | string |
Alias da lista de observação |
|
Especificar ID do item da lista de observação
|
watchlistItemId | True | string |
Identificador exclusivo para um item da lista de observação (GUID) |
Devoluções
Representa um WatchlistItem no Azure Security Insights.
- Body
- WatchlistItem
Acionadores
| Alerta do Microsoft Sentinel |
Quando uma resposta a um alerta do Microsoft Sentinel é disparada. Este manual é acionado por uma regra de análise quando um novo alerta é criado ou por acionamento manual. Playbook recebe o alerta como sua entrada. |
| Entidade Microsoft Sentinel |
Executar playbook na entidade Microsoft Sentinel |
| Incidente do Microsoft Sentinel |
Quando uma resposta a um incidente do Microsoft Sentinel é acionada. Este manual é acionado por uma regra de automação quando um novo incidente é criado ou atualizado. O Playbook recebe o incidente do Microsoft Sentinel como entrada, incluindo alertas e entidades. |
| Quando uma resposta a um alerta do Microsoft Sentinel é acionada [DEPRECATED] |
Quando uma resposta a um alerta do Microsoft Sentinel é disparada. Este manual deve ser acionado usando o Microsoft Sentinel Real Time ou do Azure |
Alerta do Microsoft Sentinel
Quando uma resposta a um alerta do Microsoft Sentinel é disparada. Este manual é acionado por uma regra de análise quando um novo alerta é criado ou por acionamento manual. Playbook recebe o alerta como sua entrada.
Devoluções
- Body
- Alert
Entidade Microsoft Sentinel
Executar playbook na entidade Microsoft Sentinel
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Tipo de entidade
|
entityType | True | string |
Tipo de entidade |
Devoluções
Incidente do Microsoft Sentinel
Quando uma resposta a um incidente do Microsoft Sentinel é acionada. Este manual é acionado por uma regra de automação quando um novo incidente é criado ou atualizado. O Playbook recebe o incidente do Microsoft Sentinel como entrada, incluindo alertas e entidades.
Devoluções
Quando uma resposta a um alerta do Microsoft Sentinel é acionada [DEPRECATED]
Quando uma resposta a um alerta do Microsoft Sentinel é disparada. Este manual deve ser acionado usando o Microsoft Sentinel Real Time ou do Azure
Devoluções
- Body
- Alert
Definições
UploadApiValidationErrors
Resposta de Threat Intelligence Uplaod API. Estes são erros para objetos inválidos no corpo da solicitação.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validaçãoErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
Resposta de Threat Intelligence Uplaod Indicators.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Uma lista de contas associadas ao alerta
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Uma lista de contas associadas ao alerta |
Account
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome
|
Name | string |
Nome da conta |
|
Domínio NT
|
NTDomain | string |
Nome de domínio NETBIOS tal como aparece no formato de alerta |
|
DnsDomínio
|
DnsDomain | string |
O nome DNS de domínio totalmente qualificado |
|
Sufixo UPN
|
UPNSuffix | string |
Sufixo do nome principal do usuário |
|
SID
|
Sid | string |
Identificador de segurança da conta, por exemplo, S-1-5-18 |
|
ID do locatário do Microsoft Entra ID
|
AadTenantId | string |
ID do locatário do Microsoft Entra ID, se conhecido |
|
ID de usuário do Microsoft Entra ID
|
AadUserId | string |
ID de usuário do Microsoft Entra ID, se conhecido |
|
PUID
|
PUID | string |
O ID de usuário do Microsoft Entra ID Passport, se conhecido |
|
É domínio ingressado
|
IsDomainJoined | boolean |
Determina se esta é uma conta de domínio |
|
ObjectGuid
|
ObjectGuid | string |
O atributo objectGUID é um atributo de valor único que é o identificador exclusivo do objeto, atribuído pelo ID do Microsoft Entra |
BatchResponseUrl
Uma lista de URLs associados ao alerta
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
URLs
|
URLs | array of UrlEntity |
Uma lista de URLs associados ao alerta |
UrlEntity
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Endereço URL
|
Url | string |
BatchResponseHost
Uma lista de anfitriões associados ao alerta
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Uma lista de anfitriões associados ao alerta |
Host
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Domínio DNS
|
DnsDomain | string |
Domínio DNS ao qual este host pertence |
|
Domínio NT
|
NTDomain | string |
Domínio NT ao qual este host pertence |
|
Hostname
|
HostName | string |
Nome do host sem o sufixo de domínio |
|
NetBiosName
|
NetBiosName | string |
O nome do host (pré-windows2000) |
|
OMSAgentID
|
OMSAgentID | string |
A ID do agente do OMS, se o host tiver o agente do OMS instalado |
|
OSFamily
|
OSFamily | string |
Um dos seguintes valores: Linux, Windows, Android, IOS |
|
Versão do SO
|
OSVersion | string |
Uma representação em texto livre do sistema operacional |
|
É domínio ingressado
|
IsDomainJoined | boolean |
Determina se esse host pertence a um domínio |
|
AzureID
|
AzureID | string |
A id do recurso azure da VM, se conhecida |
BatchResponseIP
Uma lista de IPs associados ao alerta
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
IPs
|
IPs | array of IP |
Uma lista de IPs associados ao alerta |
IP
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Address
|
Address | string |
endereço IP |
BatchResponseDNS
Uma lista de domínios DNS associados ao alerta
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Domínios DNS
|
Dnsresolutions | array of DNS |
Uma lista de domínios DNS associados ao alerta |
DNS
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome de Domínio
|
DomainName | string |
O nome do registo DNS associado ao alerta |
BatchResponseFileHash
Uma lista de hashes de arquivo associados ao alerta
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Hashes de arquivo
|
Filehashes | array of FileHash |
Uma lista de hashes de arquivo associados ao alerta |
FileHash
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Valor
|
Value | string |
Valor de hash de arquivo |
|
Algorithm
|
Algorithm | string |
Os tipos de algoritmo de hash de arquivo |
OldIncident
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
propriedades
|
properties | OldIncidentProperties |
OldIncidentProperties
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Situação
|
Status | string |
O estado do incidente |
|
Rótulos / Etiquetas
|
Labels | array of |
Os rótulos do incidente |
|
Title
|
Title | string |
O título do incidente |
|
Description
|
Description | string |
A descrição do incidente |
|
Hora de Fim UTC
|
EndTimeUtc | string |
A hora em que o incidente terminou |
|
Hora de início UTC
|
StartTimeUtc | string |
A hora de início do incidente |
|
Hora da última atualização UTC
|
LastUpdatedTimeUtc | string |
A hora de atualização do incidente |
|
Número
|
CaseNumber | string |
O número do incidente |
|
Tempo criado utc
|
CreatedTimeUtc | string |
A hora em que o incidente foi criado |
|
Severity
|
Severity | string |
A gravidade do incidente |
|
Ids de alerta relacionados
|
RelatedAlertIds | array of |
Os IDs de alerta relacionados do incidente |
IncidentAdditionalData
Incidente adicional de dados de propriedade bag.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de alertas de incidentes
|
alertsCount | integer |
O número de alertas no incidente |
|
Contagem de marcadores de incidentes
|
bookmarksCount | integer |
O número de marcadores no incidente |
|
Contagem de comentários de incidentes
|
commentsCount | integer |
O número de comentários no incidente |
|
Nomes de produtos de Alerta de Incidente
|
alertProductNames | array of string |
Lista de nomes de produtos de alertas no incidente |
|
URL do incidente do provedor
|
providerIncidentUrl | string |
A URL para o incidente no portal do Microsoft Defender |
|
Número do incidente mesclado
|
mergedIncidentNumber | string |
O número do incidente no qual o incidente atual foi mesclado |
|
URL do incidente mesclado
|
mergedIncidentUrl | string |
A URL para o incidente no qual o incidente atual foi mesclado |
|
Táticas de incidentes
|
tactics | array of AttackTactic |
As táticas associadas ao incidente |
|
Técnicas de Incidentes
|
techniques | array of string |
As técnicas associadas às táticas dos incidentes» |
Rótulo de Incidentes
Representa uma marca de incidente
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome
|
labelName | string |
O nome da tag |
|
Tipo
|
labelType | string |
O tipo da tag |
IncidenteProprietárioInformações
Informações sobre o usuário a quem um incidente é atribuído
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Email
|
string |
O e-mail do usuário ao qual o incidente é atribuído. |
|
|
Atribuído A
|
assignedTo | string |
O nome do usuário ao qual o incidente é atribuído. (campo atribuídoA) |
|
IdentificadorDoObjeto
|
objectId | uuid |
A ID do objeto do usuário ao qual o incidente é atribuído. |
|
Nome Principal do Utilizador
|
userPrincipalName | string |
O nome principal do usuário ao qual o incidente é atribuído. |
Tática de Ataque
Representa um item tático que está associado ao incidente
Representa um item tático que está associado ao incidente
AlertSeverity
HuntingBookmark
Representa um item de marcador de caça
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ARM ID
|
id | string |
O ID ARM qualificado completo do marcador. |
|
Nome ARM
|
name | string |
O nome ARM do marcador (GUID) |
|
propriedades
|
properties | HuntingBookmarkProperties |
Representa as propriedades HuntingBookmark JSON. |
Alerta de Segurança
Representa um item de alerta de segurança
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ARM ID
|
id | string |
O ID ARM qualificado completo do alerta. |
|
Nome ARM
|
name | string |
O nome ARM do alerta (GUID) |
|
propriedades
|
properties | SecurityAlertProperties |
Representa as propriedades de alerta JSON. |
HuntingBookmarkProperties
Representa as propriedades HuntingBookmark JSON.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome de exibição
|
displayName | string |
O nome para exibição do marcador |
|
Criado
|
created | date-time |
A hora criada do marcador |
|
Updated
|
updated | date-time |
A hora atualizada do marcador |
|
Criado por informações do usuário
|
createdBy | CreatedByUserInfo |
Representa UserInfo Properties JSON. |
|
Atualizado por informações do usuário
|
updatedBy | UpdatedByUserInfo |
Representa UserInfo Properties JSON. |
|
Hora do Evento
|
eventTime | date-time |
A hora do evento do marcador |
|
Observações
|
notes | string |
As notas do marcador |
|
Rótulos / Etiquetas
|
labels | array of string |
Os rótulos do marcador |
|
Query
|
query | string |
A consulta do marcador |
|
Resultado da consulta
|
queryResult | string |
O resultado da consulta do marcador |
SecurityAlertProperties
Representa as propriedades de alerta JSON.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome amigável
|
friendlyName | string |
O nome de exibição do item de gráfico, que é uma breve descrição legível humanamente da ocorrência do item de gráfico. Esta propriedade é opcional e pode ser gerada pelo sistema. |
|
Nome de exibição
|
alertDisplayName | string |
O nome para exibição do alerta |
|
Tipo
|
alertType | string |
No alerta de agendamento, este é o ID da regra de análise. |
|
URI
|
alertLink | string |
Este é o link para o alerta no fornecedor orignal. |
|
Entidade comprometida
|
compromisedEntity | string |
Nome de apresentação da entidade principal reportada. |
|
Nível de Confiança
|
confidenceLevel | string |
O nível de confiança deste alerta. |
|
Description
|
description | string |
A descrição do alerta. |
|
Hora de fim UTC
|
endTimeUtc | date-time |
A hora de fim do impacto do alerta (a hora do último evento que contribui para o alerta). |
|
ID do fornecedor
|
providerAlertId | string |
O identificador do alerta dentro do produto que gerou o alerta. |
|
Nome do Produto
|
productName | string |
O nome do produto que publicou este alerta. |
|
Passos de Remeditação
|
remediationSteps | array of string |
Lista de itens de ação manual a serem executados para corrigir o alerta. |
|
Severity
|
severity | AlertSeverity |
A gravidade do alerta |
|
Hora de Início
|
startTimeUtc | date-time |
A hora de início do impacto do alerta (a hora do primeiro evento que contribui para o alerta). |
|
Situação
|
status | string |
O status do ciclo de vida do alerta. |
|
ID do sistema
|
systemAlertId | string |
Contém o identificador de produto do alerta para o produto. |
|
Tactics
|
tactics | array of AttackTactic |
Lista das táticas de alerta. |
|
Tempo gerado
|
timeGenerated | date-time |
A hora em que o alerta foi gerado. |
|
Query
|
additionalData.Query | string |
A consulta usada para decidir se o alerta deve ser acionado (Schedule Alert Only). |
|
Hora de Início da Consulta
|
additionalData.Query Start Time UTC | string |
A hora de início da consulta usada para decidir se o alerta deve ser acionado (Somente alerta agendado). |
|
Hora de Fim da Consulta
|
additionalData.Query End Time UTC | string |
A hora de início da consulta usada para decidir se o alerta deve ser acionado (Somente alerta agendado). |
|
Operador de consulta
|
additionalData.Trigger Operator | string |
O operador usado para decidir se o alerta deve ser acionado (Somente alerta de programação). |
|
Limite de consulta
|
additionalData.Trigger Threshold | string |
O limite usado para decidir se o alerta deve ser acionado (Somente alerta de agendamento). |
|
Detalhes personalizados
|
additionalData.Custom Details | string |
Detalhes de eventos personalizados adicionados ao alerta pelas regras de análise (apenas alertas agendados). Para usar esse campo, siga com a ação "Analisar JSON" e use uma carga útil de exemplo do alerta existente para simular o esquema. |
|
Identificadores de recursos
|
resourceIdentifiers | array of object |
Os identificadores de recursos do alerta |
|
items
|
resourceIdentifiers | object |
Representa um identificador de recurso de alerta. |
Incidente
Representa um incidente no Azure Security Insights.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do ARM do incidente
|
id | string |
O ID ARM qualificado completo do incidente. |
|
Nome do ARM do incidente
|
name | string |
O nome ARM do incidente (GUID) |
|
propriedades
|
properties | IncidentProperties |
Representa as propriedades do incidente JSON. |
Incidente completo
Obter um incidente por ID ARM
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do ARM do incidente
|
id | string |
O ID ARM qualificado completo do incidente. |
|
Nome do ARM do incidente
|
name | string |
O nome ARM do incidente (GUID) |
|
propriedades
|
properties | FullIncidentProperties |
Representa as propriedades do incidente JSON. |
IncidentProperties
Representa as propriedades do incidente JSON.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
dados adicionais
|
additionalData | IncidentAdditionalData |
Incidente adicional de dados de propriedade bag. |
|
Classificação de incidentes
|
classification | string |
O motivo pelo qual o incidente foi encerrado |
|
Comentário de Classificação de Incidentes
|
classificationComment | string |
Descreve o motivo pelo qual o incidente foi encerrado |
|
Motivo da Classificação de Incidentes
|
classificationReason | string |
O motivo da classificação do incidente foi encerrado com |
|
Incidente criado tempo utc
|
createdTimeUtc | date-time |
A hora em que o incidente foi criado |
|
Descrição do Incidente
|
description | string |
A descrição do incidente |
|
Incidente Primeira Atividade Hora UTC
|
firstActivityTimeUtc | date-time |
A hora da primeira atividade no incidente |
|
URL do incidente
|
incidentUrl | string |
A URL de link profundo para o incidente no portal do Azure |
|
ID do incidente do provedor
|
providerIncidentId | string |
A ID do incidente atribuída pelo provedor do incidente |
|
ID da Sentinela de Incidentes
|
incidentNumber | integer |
Um número sequencial usado para identificar o incidente no Microsoft Sentinel. |
|
Incidente Última Atividade Hora UTC
|
lastActivityTimeUtc | date-time |
A hora da última atividade no incidente |
|
Gravidade do incidente
|
severity | string |
A gravidade do incidente |
|
Estado do Incidente
|
status | string |
O estado do incidente |
|
Título do incidente
|
title | string |
O título do incidente |
|
Tags de incidentes
|
labels | array of IncidentLabel |
Lista de tags associadas a este incidente |
|
Incidente Última modificação Hora UTC
|
lastModifiedTimeUtc | date-time |
A última vez que o incidente foi atualizado |
|
Proprietário do incidente
|
owner | IncidentOwnerInfo |
Informações sobre o usuário a quem um incidente é atribuído |
|
Ids de regra analítica relacionada a incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de ids de recursos de regras analíticas relacionadas ao incidente |
|
Comments
|
Comments | array of IncidentComment |
Lista de comentários sobre este incidente. |
FullIncidentProperties
Representa as propriedades do incidente JSON.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
dados adicionais
|
additionalData | IncidentAdditionalData |
Incidente adicional de dados de propriedade bag. |
|
Classificação de incidentes
|
classification | string |
O motivo pelo qual o incidente foi encerrado |
|
Comentário de Classificação de Incidentes
|
classificationComment | string |
Descreve o motivo pelo qual o incidente foi encerrado |
|
Motivo da Classificação de Incidentes
|
classificationReason | string |
O motivo da classificação do incidente foi encerrado com |
|
Incidente criado tempo utc
|
createdTimeUtc | date-time |
A hora em que o incidente foi criado |
|
Descrição do Incidente
|
description | string |
A descrição do incidente |
|
Incidente Primeira Atividade Hora UTC
|
firstActivityTimeUtc | date-time |
A hora da primeira atividade no incidente |
|
URL do incidente
|
incidentUrl | string |
A URL de link profundo para o incidente no portal do Azure |
|
ID do incidente do provedor
|
providerIncidentId | string |
A ID do incidente atribuída pelo provedor do incidente |
|
ID da Sentinela de Incidentes
|
incidentNumber | integer |
Um número sequencial usado para identificar o incidente no Microsoft Sentinel. |
|
Incidente Última Atividade Hora UTC
|
lastActivityTimeUtc | date-time |
A hora da última atividade no incidente |
|
Gravidade do incidente
|
severity | string |
A gravidade do incidente |
|
Estado do Incidente
|
status | string |
O estado do incidente |
|
Título do incidente
|
title | string |
O título do incidente |
|
Tags de incidentes
|
labels | array of IncidentLabel |
Lista de tags associadas a este incidente |
|
Incidente Última modificação Hora UTC
|
lastModifiedTimeUtc | date-time |
A última vez que o incidente foi atualizado |
|
Proprietário do incidente
|
owner | IncidentOwnerInfo |
Informações sobre o usuário a quem um incidente é atribuído |
|
Ids de regra analítica relacionada a incidentes
|
relatedAnalyticRuleIds | array of string |
Lista de ids de recursos de regras analíticas relacionadas ao incidente |
|
Comments
|
Comments | array of IncidentComment |
Lista de comentários sobre este incidente. |
|
Alertas
|
Alerts | array of SecurityAlert |
Lista de alertas relacionados com este incidente. |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
Lista de marcadores relacionados com este incidente. |
|
Entities
|
relatedEntities | string |
Lista de entidades relacionadas com o incidente, pode conter entidades de diferentes tipos |
IncidentEventNotification
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Nomes de campos atualizados
|
incidentUpdates.updatedFields | array of string |
Os nomes dos campos atualizados no incidente |
|
Tempo de atualização
|
incidentUpdates.updatedTime | date-time |
A hora do evento de atualização do incidente |
|
Fonte
|
incidentUpdates.updatedBy.source | string |
O ator que atualizou o incidente: Usuário, Aplicativo externo, Playbook, Regra de automação, Microsoft 365 Defender ou Agrupamento de alertas |
|
Nome
|
incidentUpdates.updatedBy.name | string |
O nome do usuário, aplicativo, regra de automação ou manual que atualizou o incidente |
|
Alertas de incidentes
|
incidentUpdates.alerts | array of SecurityAlert |
Lista de alertas adicionados a este incidente. |
|
Tags de incidentes
|
incidentUpdates.labels | array of IncidentLabel |
Lista de tags adicionadas a este incidente |
|
Comentários de incidentes
|
incidentUpdates.comments | array of IncidentComment |
Lista de comentários adicionados a este incidente. |
|
Táticas de incidentes
|
incidentUpdates.tactics | array of AttackTactic |
As táticas associadas ao incidente |
|
ID da subscrição
|
workspaceInfo.SubscriptionId | string |
A ID de assinatura do espaço de trabalho do Microsoft Sentinel |
|
Nome do Grupo de Recursos
|
workspaceInfo.ResourceGroupName | string |
O grupo de recursos do espaço de trabalho Microsoft Sentinel |
|
Nome do espaço de trabalho
|
workspaceInfo.WorkspaceName | string |
O nome do espaço de trabalho do Microsoft Sentinel |
|
ID do espaço de trabalho
|
workspaceId | string |
A ID do espaço de trabalho do incidente. |
|
objecto
|
object | FullIncident |
Obter um incidente por ID ARM |
CreatedByUserInfo
Representa UserInfo Properties JSON.
Representa UserInfo Properties JSON.
UpdatedByUserInfo
Representa UserInfo Properties JSON.
Representa UserInfo Properties JSON.
Alert
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Nome do produto
|
ProductName | string |
Nome do produto que publicou este alerta |
|
Tipo de alerta
|
AlertType | string |
Digite o nome do alerta |
|
Hora de início (UTC)
|
StartTimeUtc | date-time |
Hora de início do alerta, quando o primeiro evento contribuinte foi detetado |
|
Hora de fim (UTC)
|
EndTimeUtc | date-time |
Hora de término do alerta, quando o último evento contribuinte foi detetado |
|
Tempo gerado (UTC)
|
TimeGenerated | date-time |
A hora em que o alerta foi gerado |
|
Severity
|
Severity | string |
A gravidade do alerta tal como é comunicado pelo fornecedor |
|
ID de alerta do provedor
|
ProviderAlertId | string |
ID exclusivo para a instância de alerta específica definida pelo provedor |
|
ID de alerta do sistema
|
SystemAlertId | string |
ID exclusivo para a instância de alerta específica |
|
Nome de exibição do alerta
|
AlertDisplayName | string |
Nome para exibição do alerta |
|
Description
|
Description | string |
Descrição do alerta |
|
Entities
|
Entities | string |
Uma lista de entidades relacionadas ao alerta, pode incluir vários tipos de entidades |
|
Propriedades estendidas
|
ExtendedProperties | string |
Uma lista de campos que serão apresentados ao utilizador |
|
ID do espaço de trabalho
|
WorkspaceId | string |
A ID do espaço de trabalho do alerta |
|
Grupo de recursos
|
WorkspaceResourceGroup | string |
grupo de recursos de alerta do alerta |
|
ID da subscrição
|
WorkspaceSubscriptionId | string |
O ID da subscrição da indicação |
|
Ligações alargadas
|
ExtendedLinks | array of object |
Uma lista de links relacionados ao alerta, pode incluir vários tipos |
IncidenteComentário
Representa um item de comentário de incidente
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
O ID ARM qualificado completo do comentário. |
|
Nome
|
name | string |
O nome ARM do comentário (GUID) |
|
propriedades
|
properties | IncidentCommentProperties |
Representa as propriedades de comentário de incidente JSON. |
IncidentCommentProperties
Representa as propriedades de comentário de incidente JSON.
Representa as propriedades de comentário de incidente JSON.
IncidenteTarefa
Representa um item de tarefa de incidente
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
O ID ARM qualificado completo da tarefa. |
|
Nome
|
name | string |
O nome ARM da tarefa |
|
propriedades
|
properties | IncidentTaskProperties |
Representa as propriedades da tarefa incidente. |
IncidentTaskProperties
IncidenteRelação
Representa uma relação de incidente
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
O ID ARM qualificado completo da relação de incidente. |
|
Nome
|
name | string |
O nome ARM da relação incidente |
|
propriedades
|
properties | IncidentRelationProperties |
Representa uma relação de incidente propriedades JSON. |
IncidentRelationProperties
Representa uma relação de incidente propriedades JSON.
Representa uma relação de incidente propriedades JSON.
Watchlist
Representa uma lista de observação no Azure Security Insights.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
propriedades
|
properties | WatchlistProperties |
Descreve as propriedades da lista de observação |
Lista de observaçãoV2
Representa uma lista de observação no Azure Security Insights.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
propriedades
|
properties | WatchlistPropertiesV2 |
Descreve as propriedades da lista de observação |
Lista de observaçãoPropriedades
Descreve as propriedades da lista de observação
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
O id (um Guid) da lista de vigilância |
|
nome de exibição
|
displayName | string |
O nome de exibição da lista de observação |
|
fornecedor
|
provider | string |
O fornecedor da lista de vigilância |
|
origem
|
source | string |
A fonte da lista de vigilância |
|
criado
|
created | date-time |
A hora em que a lista de observação foi criada |
|
atualizado
|
updated | date-time |
A última vez que a lista de observação foi atualizada |
|
criado por
|
createdBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
atualizadoPor
|
updatedBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
descrição
|
description | string |
Descrição da lista de vigilância |
|
watchlistType
|
watchlistType | string |
O tipo de lista de observação |
|
lista de observaçãoAlias
|
watchlistAlias | string |
O pseudónimo da lista de vigilância |
|
isSuprimido
|
isDeleted | boolean |
Um sinalizador que indica se a lista de observação foi excluída ou não |
|
labels
|
labels | array of Label |
Lista de rótulos relevantes para esta lista de vigilância |
|
defaultDuration
|
defaultDuration | duration |
A duração padrão de uma lista de observação (no formato de duração ISO 8601) |
|
tenantId
|
tenantId | string |
O tenantId ao qual a lista de observação pertence |
|
númeroDeLinhasToSkip
|
numberOfLinesToSkip | integer |
O número de linhas em um conteúdo csv/tsv a serem ignoradas antes do cabeçalho |
|
Conteúdo bruto
|
rawContent | string |
O conteúdo bruto que representa os itens da lista de observação a serem criados. No caso do tipo de conteúdo csv/tsv, é o conteúdo do arquivo que será analisado pelo ponto de extremidade |
|
itensSearchKey
|
itemsSearchKey | string |
A chave de pesquisa é usada para otimizar o desempenho da consulta ao usar listas de observação para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e, em seguida, use esse campo como o campo chave ao unir a outros dados de evento por endereço IP. |
|
TipoDeConteúdo
|
contentType | string |
O tipo de conteúdo do conteúdo bruto. Exemplo : text/csv ou text/tsv |
|
uploadStatus
|
uploadStatus | string |
O status do upload da lista de observação: Novo, InProgress ou Completo. Nota Pls: Quando um status de upload Watchlist é igual a InProgress, a Watchlist não pode ser excluída |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
O número de itens da lista de observação na lista de observação |
WatchlistPropertiesV2
Descreve as propriedades da lista de observação
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
O id (um Guid) da lista de vigilância |
|
nome de exibição
|
displayName | string |
O nome de exibição da lista de observação |
|
fornecedor
|
provider | string |
O fornecedor da lista de vigilância |
|
origem
|
source | string |
O nome do arquivo da lista de observação, chamado 'source' |
|
sourceType
|
sourceType | string |
A fonteTipo da lista de observação |
|
criado
|
created | date-time |
A hora em que a lista de observação foi criada |
|
atualizado
|
updated | date-time |
A última vez que a lista de observação foi atualizada |
|
criado por
|
createdBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
atualizadoPor
|
updatedBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
descrição
|
description | string |
Descrição da lista de vigilância |
|
watchlistType
|
watchlistType | string |
O tipo de lista de observação |
|
lista de observaçãoAlias
|
watchlistAlias | string |
O pseudónimo da lista de vigilância |
|
isSuprimido
|
isDeleted | boolean |
Um sinalizador que indica se a lista de observação foi excluída ou não |
|
labels
|
labels | array of Label |
Lista de rótulos relevantes para esta lista de vigilância |
|
defaultDuration
|
defaultDuration | duration |
A duração padrão de uma lista de observação (no formato de duração ISO 8601) |
|
tenantId
|
tenantId | string |
O tenantId ao qual a lista de observação pertence |
|
númeroDeLinhasToSkip
|
numberOfLinesToSkip | integer |
O número de linhas em um conteúdo csv/tsv a serem ignoradas antes do cabeçalho |
|
Conteúdo bruto
|
rawContent | string |
O conteúdo bruto que representa os itens da lista de observação a serem criados. No caso do tipo de conteúdo csv/tsv, é o conteúdo do arquivo que será analisado pelo ponto de extremidade |
|
itensSearchKey
|
itemsSearchKey | string |
A chave de pesquisa é usada para otimizar o desempenho da consulta ao usar listas de observação para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e, em seguida, use esse campo como o campo chave ao unir a outros dados de evento por endereço IP. |
|
TipoDeConteúdo
|
contentType | string |
O tipo de conteúdo do conteúdo bruto. Exemplo : text/csv ou text/tsv |
|
uploadStatus
|
uploadStatus | string |
O status do upload da lista de observação: Novo, InProgress ou Completo. Nota Pls: Quando um status de upload Watchlist é igual a InProgress, a Watchlist não pode ser excluída |
WatchlistItemList
WatchlistItem
Representa um WatchlistItem no Azure Security Insights.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
WatchlistItem ID ARM completo
|
id | string |
A ID totalmente qualificada do item da lista de observação. |
|
ID exclusivo do WatchlistItem
|
name | string |
Corresponde a WatchlistItem ID (GUID) |
|
etag WatchlistItem
|
etag | string |
Corresponde a etag (GUID) |
|
Tipo WatchlistItem
|
type | string |
Corresponde ao tipo WatchlistItem |
|
valor
|
value | object |
Detalhes da entidade do item da lista de observação. |
Bookmark
Representa um marcador no Azure Security Insights.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
propriedades
|
properties | BookmarkProperties |
Descreve as propriedades do marcador |
Lista de favoritos
Liste todos os favoritos.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Próximo Link
|
nextLink | string |
URL para buscar o próximo conjunto de casos. |
|
valor
|
value | array of Bookmark |
Matriz de favoritos. |
BookmarkProperties
Descreve as propriedades do marcador
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
criado
|
created | date-time |
A hora em que o marcador foi criado |
|
criado por
|
createdBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
nome de exibição
|
displayName | string |
O nome para exibição do marcador |
|
labels
|
labels | array of Label |
Lista de rótulos relevantes para este marcador |
|
Observações
|
notes | string |
As notas do marcador |
|
consulta
|
query | string |
A consulta do marcador. |
|
queryResult
|
queryResult | string |
O resultado da consulta do marcador. |
|
atualizado
|
updated | date-time |
A última vez que o marcador foi atualizado |
|
atualizadoPor
|
updatedBy | UserInfo |
Informações do usuário que fizeram alguma ação |
|
hora do evento
|
eventTime | date-time |
A hora do evento do marcador |
|
queryStartTime
|
queryStartTime | date-time |
A hora de início da consulta |
|
queryEndTime
|
queryEndTime | date-time |
A hora de término da consulta |
|
incidenteInfo
|
incidentInfo | Incident |
Representa um incidente no Azure Security Insights. |
Informações do usuário
Informações do usuário que fizeram alguma ação
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
e-mail
|
string |
O e-mail do usuário. |
|
|
nome
|
name | string |
O nome do usuário. |
|
objectId
|
objectId | uuid |
O id do objeto do usuário. |
Etiqueta
Etiqueta que será usada para marcar e filtrar.
Etiqueta que será usada para marcar e filtrar.
cadeia (de caracteres)
Este é o tipo de dados básico 'string'.