Microsoft.SecurityInsights alertRules
- الأحدث
- معاينة 2023-02-01
- معاينة 2022-12-01
- 2022-11-01
- معاينة 2022-11-01
- معاينة 2022-10-01
- معاينة 2022-09-01
- 2022-08-01
- معاينة 2022-08-01
- معاينة 2022-07-01
- معاينة 2022-06-01
- معاينة 2022-05-01
- معاينة 2022-04-01
- معاينة 2022-01-01
- 2021-10-01
- معاينة 2021-10-01
- معاينة 2021-09-01
- معاينة 2021-03-01
- 2020-01-01
- معاينة 2019-01-01
تعريف مورد Bicep
نوع مورد alertRules هو مورد ملحق، ما يعني أنه يمكنك تطبيقه على مورد آخر.
استخدم الخاصية scope على هذا المورد لتعيين نطاق هذا المورد. راجع تعيين نطاق على موارد الملحق في Bicep.
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
تنسيق المورد
لإنشاء مورد Microsoft.SecurityInsights/alertRules، أضف Bicep التالي إلى القالب الخاص بك.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2023-02-01-preview' = {
name: 'string'
kind: 'string'
scope: resourceSymbolicName
etag: 'string'
// For remaining properties, see alertRules objects
}
كائنات alertRules
قم بتعيين خاصية النوع لتحديد نوع العنصر.
بالنسبة إلى Fusion، استخدم:
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
scenarioExclusionPatterns: [
{
dateAddedInUTC: 'string'
exclusionPattern: 'string'
}
]
sourceSettings: [
{
enabled: bool
sourceName: 'string'
sourceSubTypes: [
{
enabled: bool
severityFilters: {
filters: [
{
enabled: bool
severity: 'string'
}
]
}
sourceSubTypeName: 'string'
}
]
}
]
}
بالنسبة إلى MicrosoftSecurityIncidentCreation، استخدم:
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
بالنسبة إلى MLBehaviorAnalytics، استخدم:
kind: 'MLBehaviorAnalytics'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
بالنسبة إلى NRT، استخدم:
kind: 'NRT'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
sentinelEntitiesMappings: [
{
columnName: 'string'
}
]
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
}
بالنسبة للمجدول، استخدم:
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
sentinelEntitiesMappings: [
{
columnName: 'string'
}
]
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
بالنسبة إلى ThreatIntelligence، استخدم:
kind: 'ThreatIntelligence'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
قيم Property
قواعد التنبيه
| الاسم | الوصف | القيمة |
|---|---|---|
| الاسم | اسم المورد | سلسلة (مطلوب) |
| نوع | تعيين نوع العنصر | اندماج MicrosoftSecurityIncidentCreation تحليلات MLBehavior NRT مجدولة ThreatIntelligence (مطلوب) |
| النطاق | استخدم عند إنشاء مورد ملحق في نطاق مختلف عن نطاق التوزيع. | المورد المستهدف بالنسبة إلى Bicep، قم بتعيين هذه الخاصية إلى الاسم الرمزي للمورد لتطبيق مورد الملحق. |
| etag | Etag لمورد Azure | سلسلة |
FusionAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'Fusion' (مطلوب) |
| خصائص | خصائص قاعدة تنبيه الاندماج | FusionAlertRuleProperties |
FusionAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوب) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| scenarioExclusionPatterns | التكوين لاستبعاد السيناريوهات في الكشف عن الاندماج. | FusionScenarioExclusionPattern[] |
| إعدادات المصدر | تكوين جميع إشارات المصدر المدعومة في الكشف عن الاندماج. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| الاسم | الوصف | القيمة |
|---|---|---|
| التاريخ المضافInUTC | DateTime عند إضافة نمط استبعاد السيناريو في التوقيت العالمي المتفق عليه. | سلسلة (مطلوب) |
| exclusionPattern | نمط استبعاد السيناريو. | سلسلة (مطلوب) |
FusionSourceSettings
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تحديد ما إذا كانت هذه الإشارة المصدر ممكنة أو معطلة في الكشف عن الاندماج. | bool (مطلوب) |
| sourceName | اسم إشارة مصدر Fusion. راجع قالب قاعدة تنبيه Fusion للقيم المدعومة. | سلسلة (مطلوب) |
| sourceSubTypes | تكوين جميع الأنواع الفرعية المصدر ضمن إشارة المصدر هذه المستهلكة في الكشف عن الاندماج. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تحديد ما إذا كان هذا النوع الفرعي المصدر ضمن إشارة المصدر ممكنا أو معطلا في الكشف عن الاندماج. | bool (مطلوب) |
| عوامل الخطورة | تكوين الخطورة للنوع الفرعي المصدر المستهلك في الكشف عن الاندماج. | FusionSubTypeSeverityFilter (مطلوب) |
| sourceSubTypeName | اسم النوع الفرعي المصدر ضمن إشارة مصدر معينة في Fusion detection. راجع قالب قاعدة تنبيه Fusion للقيم المدعومة. | سلسلة (مطلوب) |
FusionSubTypeSeverityFilter
| الاسم | الوصف | القيمة |
|---|---|---|
| التصفيات | إعدادات تكوين الخطورة الفردية للنوع الفرعي المصدر المحدد المستهلكة في الكشف عن الاندماج. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | يحدد ما إذا كانت هذه الخطورة ممكنة أو معطلة لهذا النوع الفرعي المصدر المستهلك في الكشف عن الاندماج. | bool (مطلوب) |
| الخطورة | الخطورة للنوع الفرعي لمصدر معين المستهلكة في الكشف عن الاندماج. | "مرتفع" "إعلامي" "منخفض" "متوسط" (مطلوب) |
MicrosoftSecurityIncidentCreationAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'MicrosoftSecurityIncidentCreation' (مطلوب) |
| خصائص | خصائص قاعدة MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوب) |
| displayNamesExcludeFilter | أسماء عرض التنبيهات التي لن يتم إنشاء الحالات عليها | سلسلة [] |
| displayNamesFilter | أسماء عرض التنبيهات التي سيتم إنشاء الحالات عليها | سلسلة [] |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| productFilter | اسم منتج التنبيهات الذي سيتم إنشاء الحالات عليه | "Azure Active Directory Identity Protection" "الحماية المتقدمة من التهديدات في Azure" "مركز أمان Azure ل IoT" "مركز أمان Azure" 'Microsoft أمان التطبيقات على السحابة' "Microsoft Defender الحماية المتقدمة من التهديدات" "Office 365 الحماية المتقدمة من التهديدات" (مطلوب) |
| الخطورةFilter | خطورة التنبيهات التي سيتم إنشاء الحالات عليها | صفيف سلسلة يحتوي على أي من: "مرتفع" "إعلامي" "منخفض" "متوسط" |
MLBehaviorAnalyticsAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'MLBehaviorAnalytics' (مطلوب) |
| خصائص | خصائص قاعدة تنبيه MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
NrtAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'NRT' (مطلوب) |
| خصائص | خصائص قاعدة تنبيه NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDetailsOverride | تجاوز إعدادات تفاصيل التنبيه | AlertDetailsOverride |
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| علامات تعريف مخصصة | قاموس أزواج قيم مفاتيح السلسلة من الأعمدة التي سيتم إرفاقها بالتنبيه | عنصر |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| تعيينات الكيان | صفيف تعيينات الكيان لقاعدة التنبيه | EntityMapping[] |
| eventGroupingSettings | إعدادات تجميع الأحداث. | إعدادات تجميع الأحداث |
| تكوين الحدث | إعدادات الحوادث التي تم إنشاؤها من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | تكوين الحدث |
| استعلام | الاستعلام الذي ينشئ تنبيهات لهذه القاعدة. | سلسلة (مطلوبة) |
| sentinelEntitiesMappings | صفيف تعيينات كيان sentinel لقاعدة التنبيه | SentinelEntityMapping[] |
| الخطورة | خطورة التنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | "مرتفع" "إعلامي" "منخفض" 'متوسط' (مطلوب) |
| منعDuration | المنع (بتنسيق مدة ISO 8601) للانتظار منذ آخر مرة تم فيها تشغيل قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| suppressionEnabled | تحديد ما إذا كان منع قاعدة التنبيه هذه ممكنا أو معطلا. | bool (مطلوب) |
| التكتيكات | تكتيكات قاعدة التنبيه | صفيف سلسلة يحتوي على أي من: "المجموعة" 'CommandAndControl' 'CredentialAccess' "التهرب الدفاعي" "الاكتشاف" "التنفيذ" "النقل غير المصرح به" "التأثير" 'إعاقة العمليةالاختبار' 'InhibitResponseFunction' 'InitialAccess' 'LateralMovement' "استمرارية" "PreAttack" 'PrivilegeEscalation' "الاستكشاف" "تطوير الموارد" |
| تقنيات | تقنيات قاعدة التنبيه | سلسلة [] |
| templateVersion | إصدار قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة - بالتنسيق {a.b.c}، حيث تكون جميع الأرقام، على سبيل المثال 0 {1.0.2} | سلسلة |
AlertDetailsOverride
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDescriptionFormat | التنسيق الذي يحتوي على اسم (أسماء) الأعمدة لتجاوز وصف التنبيه | سلسلة |
| alertDisplayNameFormat | التنسيق الذي يحتوي على اسم (أسماء) الأعمدة لتجاوز اسم التنبيه | سلسلة |
| alertDynamicProperties | قائمة بالخصائص الديناميكية الإضافية التي يجب تجاوزها | AlertPropertyMapping[] |
| alertSeverityColumnName | اسم العمود الذي يجب أخذ خطورة التنبيه منه | سلسلة |
| alertTacticsColumnName | اسم العمود الذي يجب أخذ تكتيكات التنبيه منه | سلسلة |
AlertPropertyMapping
| الاسم | الوصف | القيمة |
|---|---|---|
| alertProperty | خاصية تنبيه V3 | "ارتباط التنبيه" "مستوى الثقة" 'ConfidenceScore' "الارتباطات الموسعة" "ProductComponentName" "ProductName" "اسم الموفر" 'RemediationSteps' "التقنيات" |
| القيمة | اسم العمود المراد استخدامه لتجاوز هذه الخاصية | سلسلة |
تعيين الكيان
| الاسم | الوصف | القيمة |
|---|---|---|
| entityType | نوع V3 للكيان المعين | "الحساب" "AzureResource" 'CloudApplication' "DNS" "ملف" 'FileHash' "المضيف" "IP" "MailCluster" "MailMessage" "علبة البريد" "البرامج الضارة" "عملية" 'RegistryKey' 'RegistryValue' "مجموعة الأمان" 'SubmissionMail' 'URL' |
| تعيينات الحقول | صفيف تعيينات الحقول لتعيين الكيان المحدد | FieldMapping[] |
تعيين الحقل
| الاسم | الوصف | القيمة |
|---|---|---|
| اسم العمود | اسم العمود المراد تعيينه إلى المعرف | سلسلة |
| محدد | معرف V3 للكيان | سلسلة |
إعدادات تجميع الأحداث
| الاسم | الوصف | القيمة |
|---|---|---|
| تجميعKind | أنواع تجميع الأحداث | "AlertPerResult" "SingleAlert" |
تكوين الحدث
| الاسم | الوصف | القيمة |
|---|---|---|
| createIncident | إنشاء حوادث من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | bool (مطلوب) |
| تكوين التجميع | تعيين كيفية تجميع التنبيهات التي يتم تشغيلها بواسطة قاعدة التحليلات هذه في حوادث | تكوين المجموعة |
تكوين المجموعة
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تمكين التجميع | bool (مطلوب) |
| groupByAlertDetails | قائمة بتفاصيل التنبيه المراد تجميعها حسب (عند تحديد matchingMethod) | صفيف سلسلة يحتوي على أي من: 'DisplayName' "الخطورة" |
| groupByCustomDetails | قائمة بمفاتيح التفاصيل المخصصة لتجميعها حسب (عند تحديد matchingMethod). يمكن استخدام المفاتيح المحددة في قاعدة التنبيه الحالية فقط. | سلسلة [] |
| groupByEntities | قائمة أنواع الكيانات المراد تجميعها حسب (عند تحديد matchingMethod). يمكن استخدام الكيانات المحددة في قاعدة التنبيه الحالية فقط. | صفيف سلسلة يحتوي على أي من: "الحساب" "AzureResource" 'CloudApplication' "DNS" "ملف" 'FileHash' "المضيف" "IP" "MailCluster" "MailMessage" "علبة البريد" "البرامج الضارة" "عملية" 'RegistryKey' 'RegistryValue' "مجموعة الأمان" 'SubmissionMail' 'URL' |
| إعادة النظر عن المدة | قصر المجموعة على التنبيهات التي تم إنشاؤها ضمن مدة البحث (بتنسيق مدة ISO 8601) | سلسلة (مطلوبة) |
| مطابقة القياس | طريقة مطابقة التجميع. عندما يتم تحديد أسلوب واحد على الأقل من groupByEntities، groupByAlertDetails، يجب توفير groupByCustomDetails وليس فارغا. | "كافة الكيانات" "AnyAlert" "محدد" (مطلوب) |
| إعادة فتحClosedIncident | إعادة فتح حوادث المطابقة المغلقة | bool (مطلوب) |
SentinelEntityMapping
| الاسم | الوصف | القيمة |
|---|---|---|
| اسم العمود | اسم العمود الذي سيتم تعيينه إلى SentinelEntities | سلسلة |
ScheduledAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | "مجدول" (مطلوب) |
| خصائص | خصائص قاعدة التنبيه المجدولة | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDetailsOverride | تجاوز إعدادات تفاصيل التنبيه | AlertDetailsOverride |
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| علامات تعريف مخصصة | قاموس أزواج قيم مفاتيح السلسلة من الأعمدة التي سيتم إرفاقها بالتنبيه | عنصر |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| تعيينات الكيان | صفيف تعيينات الكيان لقاعدة التنبيه | EntityMapping[] |
| eventGroupingSettings | إعدادات تجميع الأحداث. | إعدادات تجميع الأحداث |
| تكوين الحدث | إعدادات الحوادث التي تم إنشاؤها من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | تكوين الحدث |
| استعلام | الاستعلام الذي ينشئ تنبيهات لهذه القاعدة. | سلسلة |
| عدد الاستعلامات | التردد (بتنسيق مدة ISO 8601) لتشغيل قاعدة التنبيه هذه. | سلسلة |
| queryPeriod | الفترة (بتنسيق المدة ISO 8601) التي تبحث فيها قاعدة التنبيه هذه. | سلسلة |
| sentinelEntitiesMappings | صفيف تعيينات كيان sentinel لقاعدة التنبيه | SentinelEntityMapping[] |
| الخطورة | خطورة التنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | "مرتفع" "إعلامي" "منخفض" "متوسط" |
| منعDuration | المنع (بتنسيق مدة ISO 8601) للانتظار منذ آخر مرة تم فيها تشغيل قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| suppressionEnabled | تحديد ما إذا كان منع قاعدة التنبيه هذه ممكنا أو معطلا. | bool (مطلوب) |
| التكتيكات | تكتيكات قاعدة التنبيه | صفيف سلسلة يحتوي على أي من: "المجموعة" 'CommandAndControl' 'CredentialAccess' "التهرب الدفاعي" "الاكتشاف" "التنفيذ" "النقل غير المصرح به" "التأثير" 'إعاقة العمليةالاختبار' 'InhibitResponseFunction' 'InitialAccess' 'LateralMovement' "استمرارية" "PreAttack" 'PrivilegeEscalation' "الاستكشاف" "تطوير الموارد" |
| تقنيات | تقنيات قاعدة التنبيه | سلسلة [] |
| templateVersion | إصدار قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة - بالتنسيق {a.b.c}، حيث تكون جميع الأرقام، على سبيل المثال 0 {1.0.2} | سلسلة |
| triggerOperator | العملية مقابل الحد الذي يقوم بتشغيل قاعدة التنبيه. | 'يساوي' 'أكبر ثان' "أقل ثان" 'NotEqual' |
| triggerThreshold | يؤدي الحد إلى تشغيل قاعدة التنبيه هذه. | int |
ThreatIntelligenceAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'ThreatIntelligence' (مطلوب) |
| خصائص | خصائص قاعدة تنبيه التحليل الذكي للمخاطر | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
قوالب التشغيل السريع
تنشر قوالب التشغيل السريع التالية نوع المورد هذا.
| قالب | الوصف |
|---|---|
إنشاء قاعدة تحليلات مجدولة جديدة ل Microsoft Sentinel |
يوضح هذا النموذج كيفية إنشاء قاعدة تحليلات مجدولة جديدة في Microsoft Sentinel |
تعريف مورد قالب ARM
نوع مورد alertRules هو مورد ملحق، ما يعني أنه يمكنك تطبيقه على مورد آخر.
استخدم الخاصية على scope هذا المورد لتعيين نطاق هذا المورد. راجع تعيين نطاق على موارد الملحق في قوالب ARM.
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
تنسيق المورد
لإنشاء مورد Microsoft.SecurityInsights/alertRules، أضف JSON التالي إلى القالب الخاص بك.
{
"type": "Microsoft.SecurityInsights/alertRules",
"apiVersion": "2023-02-01-preview",
"name": "string",
"kind": "string",
"scope": "string",
"etag": "string",
// For remaining properties, see alertRules objects
}
كائنات alertRules
قم بتعيين خاصية النوع لتحديد نوع العنصر.
بالنسبة إلى Fusion، استخدم:
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool",
"scenarioExclusionPatterns": [
{
"dateAddedInUTC": "string",
"exclusionPattern": "string"
}
],
"sourceSettings": [
{
"enabled": "bool",
"sourceName": "string",
"sourceSubTypes": [
{
"enabled": "bool",
"severityFilters": {
"filters": [
{
"enabled": "bool",
"severity": "string"
}
]
},
"sourceSubTypeName": "string"
}
]
}
]
}
بالنسبة إلى MicrosoftSecurityIncidentCreation، استخدم:
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
بالنسبة إلى MLBehaviorAnalytics، استخدم:
"kind": "MLBehaviorAnalytics",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
بالنسبة إلى NRT، استخدم:
"kind": "NRT",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"sentinelEntitiesMappings": [
{
"columnName": "string"
}
],
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string"
}
بالنسبة للمجدول، استخدم:
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"sentinelEntitiesMappings": [
{
"columnName": "string"
}
],
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
بالنسبة إلى ThreatIntelligence، استخدم:
"kind": "ThreatIntelligence",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
قيم Property
قواعد التنبيه
| الاسم | الوصف | القيمة |
|---|---|---|
| النوع | نوع المورد | 'Microsoft.SecurityInsights/alertRules' |
| apiVersion | إصدار واجهة برمجة تطبيقات المورد | 'معاينة 2023-02-01' |
| الاسم | اسم المورد | سلسلة (مطلوبة) |
| نوع | تعيين نوع الكائن | اندماج MicrosoftSecurityIncidentCreation تحليلات MLBehavior NRT مجدولة ThreatIntelligence (مطلوب) |
| النطاق | استخدم عند إنشاء مورد ملحق في نطاق مختلف عن نطاق التوزيع. | المورد المستهدف بالنسبة إلى JSON، قم بتعيين القيمة إلى الاسم الكامل للمورد لتطبيق مورد الملحق عليه. |
| etag | Etag لمورد azure | سلسلة |
FusionAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'Fusion' (مطلوب) |
| خصائص | خصائص قاعدة تنبيه الاندماج | FusionAlertRuleProperties |
FusionAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| scenarioExclusionPatterns | التكوين لاستبعاد السيناريوهات في الكشف عن الاندماج. | FusionScenarioExclusionPattern[] |
| إعدادات المصدر | تكوين لجميع إشارات المصدر المدعومة في الكشف عن الاندماج. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| الاسم | الوصف | القيمة |
|---|---|---|
| تاريخ الإضافةInUTC | التاريخ والوقت عند إضافة نمط استبعاد السيناريو في التوقيت العالمي المتفق عليه. | سلسلة (مطلوبة) |
| exclusionPattern | نمط استبعاد السيناريو. | سلسلة (مطلوبة) |
FusionSourceSettings
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تحديد ما إذا كانت هذه الإشارة المصدر ممكنة أو معطلة في الكشف عن الاندماج. | bool (مطلوب) |
| sourceName | اسم إشارة مصدر Fusion. راجع قالب قاعدة تنبيه Fusion للحصول على القيم المدعومة. | سلسلة (مطلوبة) |
| sourceSubTypes | تكوين جميع الأنواع الفرعية المصدر ضمن إشارة المصدر هذه المستهلكة في الكشف عن الاندماج. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تحديد ما إذا كان هذا النوع الفرعي المصدر ضمن إشارة المصدر ممكنا أو معطلا في الكشف عن الاندماج. | bool (مطلوب) |
| عوامل تصفية الخطورة | تكوين الخطورة للنوع الفرعي المصدر المستهلك في الكشف عن الاندماج. | FusionSubTypeSeverityFilter (مطلوب) |
| sourceSubTypeName | اسم النوع الفرعي المصدر ضمن إشارة مصدر معينة في الكشف عن الاندماج. راجع قالب قاعدة تنبيه Fusion للحصول على القيم المدعومة. | سلسلة (مطلوبة) |
FusionSubTypeSeverityFilter
| الاسم | الوصف | القيمة |
|---|---|---|
| التصفيات | إعدادات تكوين الخطورة الفردية للنوع الفرعي المصدر المحدد المستهلكة في الكشف عن الاندماج. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | يحدد ما إذا كان قد تم تمكين هذه الخطورة أو تعطيلها لهذا النوع الفرعي المصدر المستهلك في الكشف عن الاندماج. | bool (مطلوب) |
| الخطورة | خطورة نوع فرعي مصدر معين مستهلك في الكشف عن الاندماج. | "مرتفع" "إعلامي" "منخفض" 'متوسط' (مطلوب) |
MicrosoftSecurityIncidentCreationAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'MicrosoftSecurityIncidentCreation' (مطلوب) |
| خصائص | خصائص قاعدة MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| displayNamesExcludeFilter | أسماء عرض التنبيهات التي لن يتم إنشاء الحالات عليها | سلسلة [] |
| displayNamesFilter | أسماء عرض التنبيهات التي سيتم إنشاء الحالات عليها | سلسلة [] |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| تصفية المنتج | اسم منتج التنبيهات الذي سيتم إنشاء الحالات عليه | "Azure Active Directory Identity Protection" "الحماية المتقدمة من التهديدات في Azure" "مركز أمان Azure ل IoT" "مركز أمان Azure" 'Microsoft أمان التطبيقات على السحابة' "Microsoft Defender الحماية المتقدمة من التهديدات" "Office 365 الحماية المتقدمة من التهديدات" (مطلوب) |
| تصفية الخطورة | شدة التنبيهات التي سيتم إنشاء الحالات عليها | صفيف سلسلة يحتوي على أي من: "مرتفع" "إعلامي" "منخفض" "متوسط" |
MLBehaviorAnalyticsAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'MLBehaviorAnalytics' (مطلوب) |
| خصائص | خصائص قاعدة تنبيه MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
NrtAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'NRT' (مطلوب) |
| خصائص | خصائص قاعدة تنبيه NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDetailsOverride | تجاوز إعدادات تفاصيل التنبيه | AlertDetailsOverride |
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| علامات تعريف مخصصة | قاموس أزواج قيم مفاتيح السلسلة من الأعمدة التي سيتم إرفاقها بالتنبيه | عنصر |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| تعيينات الكيان | صفيف تعيينات الكيان لقاعدة التنبيه | EntityMapping[] |
| eventGroupingSettings | إعدادات تجميع الأحداث. | إعدادات تجميع الأحداث |
| تكوين الحدث | إعدادات الحوادث التي تم إنشاؤها من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | تكوين الحدث |
| استعلام | الاستعلام الذي ينشئ تنبيهات لهذه القاعدة. | سلسلة (مطلوبة) |
| sentinelEntitiesMappings | صفيف تعيينات كيان sentinel لقاعدة التنبيه | SentinelEntityMapping[] |
| الخطورة | خطورة التنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | "مرتفع" "إعلامي" "منخفض" 'متوسط' (مطلوب) |
| منعDuration | المنع (بتنسيق مدة ISO 8601) للانتظار منذ آخر مرة تم فيها تشغيل قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| suppressionEnabled | تحديد ما إذا كان منع قاعدة التنبيه هذه ممكنا أو معطلا. | bool (مطلوب) |
| التكتيكات | تكتيكات قاعدة التنبيه | صفيف سلسلة يحتوي على أي من: "المجموعة" 'CommandAndControl' 'CredentialAccess' "التهرب الدفاعي" "الاكتشاف" "التنفيذ" "النقل غير المصرح به" "التأثير" 'إعاقة العمليةالاختبار' 'InhibitResponseFunction' 'InitialAccess' 'LateralMovement' "استمرارية" "PreAttack" 'PrivilegeEscalation' "الاستكشاف" "تطوير الموارد" |
| تقنيات | تقنيات قاعدة التنبيه | سلسلة [] |
| templateVersion | إصدار قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة - بالتنسيق {a.b.c}، حيث تكون جميع الأرقام، على سبيل المثال 0 {1.0.2} | سلسلة |
AlertDetailsOverride
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDescriptionFormat | التنسيق الذي يحتوي على اسم (أسماء) الأعمدة لتجاوز وصف التنبيه | سلسلة |
| alertDisplayNameFormat | التنسيق الذي يحتوي على اسم (أسماء) الأعمدة لتجاوز اسم التنبيه | سلسلة |
| alertDynamicProperties | قائمة بالخصائص الديناميكية الإضافية التي يجب تجاوزها | AlertPropertyMapping[] |
| alertSeverityColumnName | اسم العمود الذي يجب أخذ خطورة التنبيه منه | سلسلة |
| alertTacticsColumnName | اسم العمود الذي يجب أخذ تكتيكات التنبيه منه | سلسلة |
AlertPropertyMapping
| الاسم | الوصف | القيمة |
|---|---|---|
| alertProperty | خاصية تنبيه V3 | "ارتباط التنبيه" "مستوى الثقة" 'ConfidenceScore' "الارتباطات الموسعة" "ProductComponentName" "ProductName" "اسم الموفر" 'RemediationSteps' "التقنيات" |
| القيمة | اسم العمود المراد استخدامه لتجاوز هذه الخاصية | سلسلة |
تعيين الكيان
| الاسم | الوصف | القيمة |
|---|---|---|
| entityType | نوع V3 للكيان المعين | "الحساب" "AzureResource" 'CloudApplication' "DNS" "ملف" 'FileHash' "المضيف" "IP" "MailCluster" "MailMessage" "علبة البريد" "البرامج الضارة" "عملية" 'RegistryKey' 'RegistryValue' "مجموعة الأمان" 'SubmissionMail' 'URL' |
| تعيينات الحقول | صفيف تعيينات الحقول لتعيين الكيان المحدد | FieldMapping[] |
تعيين الحقل
| الاسم | الوصف | القيمة |
|---|---|---|
| اسم العمود | اسم العمود المراد تعيينه إلى المعرف | سلسلة |
| محدد | معرف V3 للكيان | سلسلة |
إعدادات تجميع الأحداث
| الاسم | الوصف | القيمة |
|---|---|---|
| تجميعKind | أنواع تجميع الأحداث | "AlertPerResult" "SingleAlert" |
تكوين الحدث
| الاسم | الوصف | القيمة |
|---|---|---|
| createIncident | إنشاء حوادث من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | bool (مطلوب) |
| تكوين التجميع | تعيين كيفية تجميع التنبيهات التي يتم تشغيلها بواسطة قاعدة التحليلات هذه في حوادث | تكوين المجموعة |
تكوين المجموعة
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تمكين التجميع | bool (مطلوب) |
| groupByAlertDetails | قائمة بتفاصيل التنبيه المراد تجميعها حسب (عند تحديد matchingMethod) | صفيف سلسلة يحتوي على أي من: 'DisplayName' "الخطورة" |
| groupByCustomDetails | قائمة بمفاتيح التفاصيل المخصصة لتجميعها حسب (عند تحديد matchingMethod). يمكن استخدام المفاتيح المحددة في قاعدة التنبيه الحالية فقط. | سلسلة [] |
| groupByEntities | قائمة أنواع الكيانات المراد تجميعها حسب (عند تحديد matchingMethod). يمكن استخدام الكيانات المحددة في قاعدة التنبيه الحالية فقط. | صفيف سلسلة يحتوي على أي من: "الحساب" "AzureResource" 'CloudApplication' "DNS" "ملف" 'FileHash' "المضيف" "IP" "MailCluster" "MailMessage" "علبة البريد" "البرامج الضارة" "عملية" 'RegistryKey' 'RegistryValue' "مجموعة الأمان" 'SubmissionMail' 'URL' |
| إعادة النظر عن المدة | قصر المجموعة على التنبيهات التي تم إنشاؤها ضمن مدة البحث (بتنسيق مدة ISO 8601) | سلسلة (مطلوبة) |
| مطابقة القياس | طريقة مطابقة التجميع. عندما يتم تحديد أسلوب واحد على الأقل من groupByEntities، groupByAlertDetails، يجب توفير groupByCustomDetails وليس فارغا. | "كافة الكيانات" "AnyAlert" "محدد" (مطلوب) |
| إعادة فتحClosedIncident | إعادة فتح حوادث المطابقة المغلقة | bool (مطلوب) |
SentinelEntityMapping
| الاسم | الوصف | القيمة |
|---|---|---|
| اسم العمود | اسم العمود الذي سيتم تعيينه إلى SentinelEntities | سلسلة |
ScheduledAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | "مجدول" (مطلوب) |
| خصائص | خصائص قاعدة التنبيه المجدولة | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDetailsOverride | تجاوز إعدادات تفاصيل التنبيه | AlertDetailsOverride |
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| علامات تعريف مخصصة | قاموس أزواج قيم مفاتيح السلسلة من الأعمدة التي سيتم إرفاقها بالتنبيه | عنصر |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| تعيينات الكيان | صفيف تعيينات الكيان لقاعدة التنبيه | EntityMapping[] |
| eventGroupingSettings | إعدادات تجميع الأحداث. | إعدادات تجميع الأحداث |
| تكوين الحدث | إعدادات الحوادث التي تم إنشاؤها من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | تكوين الحدث |
| استعلام | الاستعلام الذي ينشئ تنبيهات لهذه القاعدة. | سلسلة |
| عدد الاستعلامات | التردد (بتنسيق مدة ISO 8601) لتشغيل قاعدة التنبيه هذه. | سلسلة |
| queryPeriod | الفترة (بتنسيق المدة ISO 8601) التي تبحث فيها قاعدة التنبيه هذه. | سلسلة |
| sentinelEntitiesMappings | صفيف تعيينات كيان sentinel لقاعدة التنبيه | SentinelEntityMapping[] |
| الخطورة | خطورة التنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | "مرتفع" "إعلامي" "منخفض" "متوسط" |
| منعDuration | المنع (بتنسيق مدة ISO 8601) للانتظار منذ آخر مرة تم فيها تشغيل قاعدة التنبيه هذه. | سلسلة (مطلوبة) |
| suppressionEnabled | تحديد ما إذا كان منع قاعدة التنبيه هذه ممكنا أو معطلا. | bool (مطلوب) |
| التكتيكات | تكتيكات قاعدة التنبيه | صفيف سلسلة يحتوي على أي من: "المجموعة" 'CommandAndControl' 'CredentialAccess' "التهرب الدفاعي" "الاكتشاف" "التنفيذ" "النقل غير المصرح به" "التأثير" 'إعاقة العمليةالاختبار' 'InhibitResponseFunction' 'InitialAccess' 'LateralMovement' "استمرارية" "PreAttack" 'PrivilegeEscalation' "الاستكشاف" "تطوير الموارد" |
| تقنيات | تقنيات قاعدة التنبيه | سلسلة [] |
| templateVersion | إصدار قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة - بالتنسيق {a.b.c}، حيث تكون جميع الأرقام، على سبيل المثال 0 {1.0.2} | سلسلة |
| triggerOperator | العملية مقابل الحد الذي يقوم بتشغيل قاعدة التنبيه. | 'يساوي' 'أكبر ثان' "أقل ثان" 'NotEqual' |
| triggerThreshold | يؤدي الحد إلى تشغيل قاعدة التنبيه هذه. | int |
ThreatIntelligenceAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | 'ThreatIntelligence' (مطلوب) |
| خصائص | خصائص قاعدة تنبيه التحليل الذكي للمخاطر | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
قوالب التشغيل السريع
تنشر قوالب التشغيل السريع التالية نوع المورد هذا.
| قالب | الوصف |
|---|---|
| إنشاء قاعدة تحليلات مجدولة جديدة ل Microsoft Sentinel |
يوضح هذا النموذج كيفية إنشاء قاعدة تحليلات مجدولة جديدة في Microsoft Sentinel |
تعريف مورد Terraform (موفر AzAPI)
نوع مورد alertRules هو مورد ملحق، ما يعني أنه يمكنك تطبيقه على مورد آخر.
استخدم الخاصية على parent_id هذا المورد لتعيين نطاق هذا المورد.
للحصول على قائمة بالخصائص التي تم تغييرها في كل إصدار من إصدارات واجهة برمجة التطبيقات، راجع سجل التغيير.
تنسيق المورد
لإنشاء مورد Microsoft.SecurityInsights/alertRules، أضف Terraform التالي إلى القالب الخاص بك.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/alertRules@2023-02-01-preview"
name = "string"
parent_id = "string"
// For remaining properties, see alertRules objects
body = jsonencode({
kind = "string"
etag = "string"
})
}
كائنات alertRules
قم بتعيين خاصية النوع لتحديد نوع العنصر.
بالنسبة إلى Fusion، استخدم:
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
scenarioExclusionPatterns = [
{
dateAddedInUTC = "string"
exclusionPattern = "string"
}
]
sourceSettings = [
{
enabled = bool
sourceName = "string"
sourceSubTypes = [
{
enabled = bool
severityFilters = {
filters = [
{
enabled = bool
severity = "string"
}
]
}
sourceSubTypeName = "string"
}
]
}
]
}
بالنسبة إلى MicrosoftSecurityIncidentCreation، استخدم:
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
بالنسبة إلى MLBehaviorAnalytics، استخدم:
kind = "MLBehaviorAnalytics"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
بالنسبة إلى NRT، استخدم:
kind = "NRT"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
sentinelEntitiesMappings = [
{
columnName = "string"
}
]
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
}
بالنسبة للمجدول، استخدم:
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
sentinelEntitiesMappings = [
{
columnName = "string"
}
]
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
بالنسبة إلى ThreatIntelligence، استخدم:
kind = "ThreatIntelligence"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
قيم Property
قواعد التنبيه
| الاسم | الوصف | القيمة |
|---|---|---|
| النوع | نوع المورد | "Microsoft.SecurityInsights/alertRules@2023-02-01-preview" |
| الاسم | اسم المورد | سلسلة (مطلوبة) |
| parent_id | معرف المورد لتطبيق مورد الملحق هذا عليه. | سلسلة (مطلوبة) |
| نوع | تعيين نوع الكائن | اندماج MicrosoftSecurityIncidentCreation تحليلات MLBehavior NRT مجدولة ThreatIntelligence (مطلوب) |
| etag | Etag لمورد azure | سلسلة |
FusionAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | "Fusion" (مطلوب) |
| خصائص | خصائص قاعدة تنبيه الاندماج | FusionAlertRuleProperties |
FusionAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوبة) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| scenarioExclusionPatterns | التكوين لاستبعاد السيناريوهات في الكشف عن الاندماج. | FusionScenarioExclusionPattern[] |
| إعدادات المصدر | تكوين لجميع إشارات المصدر المدعومة في الكشف عن الاندماج. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| الاسم | الوصف | القيمة |
|---|---|---|
| التاريخ المضافInUTC | DateTime عند إضافة نمط استبعاد السيناريو في التوقيت العالمي المتفق عليه. | سلسلة (مطلوب) |
| exclusionPattern | نمط استبعاد السيناريو. | سلسلة (مطلوب) |
FusionSourceSettings
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تحديد ما إذا كانت هذه الإشارة المصدر ممكنة أو معطلة في الكشف عن الاندماج. | bool (مطلوب) |
| sourceName | اسم إشارة مصدر Fusion. راجع قالب قاعدة تنبيه Fusion للقيم المدعومة. | سلسلة (مطلوب) |
| sourceSubTypes | تكوين جميع الأنواع الفرعية المصدر ضمن إشارة المصدر هذه المستهلكة في الكشف عن الاندماج. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تحديد ما إذا كان هذا النوع الفرعي المصدر ضمن إشارة المصدر ممكنا أو معطلا في الكشف عن الاندماج. | bool (مطلوب) |
| عوامل الخطورة | تكوين الخطورة للنوع الفرعي المصدر المستهلك في الكشف عن الاندماج. | FusionSubTypeSeverityFilter (مطلوب) |
| sourceSubTypeName | اسم النوع الفرعي المصدر ضمن إشارة مصدر معينة في Fusion detection. راجع قالب قاعدة تنبيه Fusion للقيم المدعومة. | سلسلة (مطلوب) |
FusionSubTypeSeverityFilter
| الاسم | الوصف | القيمة |
|---|---|---|
| التصفيات | إعدادات تكوين الخطورة الفردية للنوع الفرعي المصدر المحدد المستهلكة في الكشف عن الاندماج. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | يحدد ما إذا كانت هذه الخطورة ممكنة أو معطلة لهذا النوع الفرعي المصدر المستهلك في الكشف عن الاندماج. | bool (مطلوب) |
| الخطورة | الخطورة للنوع الفرعي لمصدر معين المستهلكة في الكشف عن الاندماج. | "مرتفع" "إعلامي" "منخفض" "متوسط" (مطلوب) |
MicrosoftSecurityIncidentCreationAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | "MicrosoftSecurityIncidentCreation" (مطلوب) |
| خصائص | خصائص قاعدة MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوب) |
| displayNamesExcludeFilter | أسماء عرض التنبيهات التي لن يتم إنشاء الحالات عليها | سلسلة [] |
| displayNamesFilter | أسماء عرض التنبيهات التي سيتم إنشاء الحالات عليها | سلسلة [] |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| productFilter | اسم منتج التنبيهات الذي سيتم إنشاء الحالات عليه | "Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "مركز أمان Azure ل IoT" "مركز أمان Azure" "Microsoft أمان التطبيقات على السحابة" "Microsoft Defender الحماية المتقدمة من التهديدات" "Office 365 الحماية المتقدمة من التهديدات" (مطلوب) |
| الخطورةFilter | خطورة التنبيهات التي سيتم إنشاء الحالات عليها | صفيف سلسلة يحتوي على أي من: "مرتفع" "إعلامي" "منخفض" "متوسط" |
MLBehaviorAnalyticsAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | "MLBehaviorAnalytics" (مطلوب) |
| خصائص | خصائص قاعدة تنبيه MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوب) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
NrtAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | "NRT" (مطلوب) |
| خصائص | خصائص قاعدة تنبيه NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDetailsOverride | تتجاوز تفاصيل التنبيه الإعدادات | AlertDetailsOverride |
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| علامات تعريف مخصصة | قاموس أزواج قيم مفاتيح السلسلة للأعمدة المراد إرفاقها بالتنبيه | عنصر |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوب) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| entityMappings | صفيف تعيينات الكيان لقاعدة التنبيه | EntityMapping[] |
| eventGroupingSettings | إعدادات تجميع الأحداث. | إعدادات تجميع الأحداث |
| تكوين الحدث | إعدادات الحوادث التي تم إنشاؤها من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | تكوين الحدث |
| استعلام | الاستعلام الذي ينشئ تنبيهات لهذه القاعدة. | سلسلة (مطلوب) |
| sentinelEntitiesMappings | صفيف تعيينات كيان sentinel لقاعدة التنبيه | SentinelEntityMapping[] |
| الخطورة | خطورة التنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | "مرتفع" "إعلامي" "منخفض" "متوسط" (مطلوب) |
| منعDuration | المنع (بتنسيق مدة ISO 8601) للانتظار منذ آخر مرة تم فيها تشغيل قاعدة التنبيه هذه. | سلسلة (مطلوب) |
| suppressionEnabled | تحديد ما إذا كان منع قاعدة التنبيه هذه ممكنا أو معطلا. | bool (مطلوب) |
| التكتيكات | تكتيكات قاعدة التنبيه | صفيف سلسلة يحتوي على أي من: "مجموعة" "CommandAndControl" "CredentialAccess" "التهرب الدفاعي" "الاكتشاف" "التنفيذ" "النقل غير المصرح به" "التأثير" "الاختلال في المعالجة" "InhibitResponseFunction" "InitialAccess" "الحركة الجانبية" "استمرارية" "PreAttack" "PrivilegeEscalation" "الاستطلاع" "تطوير الموارد" |
| تقنيات | تقنيات قاعدة التنبيه | سلسلة [] |
| templateVersion | إصدار قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة - بالتنسيق {a.b.c}، حيث تكون جميع الأرقام، على سبيل المثال 0 {1.0.2} | سلسلة |
AlertDetailsOverride
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDescriptionFormat | التنسيق الذي يحتوي على اسم (أسماء) الأعمدة لتجاوز وصف التنبيه | سلسلة |
| alertDisplayNameFormat | التنسيق الذي يحتوي على اسم (أسماء) الأعمدة لتجاوز اسم التنبيه | سلسلة |
| alertDynamicProperties | قائمة الخصائص الديناميكية الإضافية لتجاوزها | AlertPropertyMapping[] |
| alertSeverityColumnName | اسم العمود الذي يجب أخذ خطورة التنبيه منه | سلسلة |
| alertTacticsColumnName | اسم العمود لأخذ تكتيكات التنبيه من | سلسلة |
AlertPropertyMapping
| الاسم | الوصف | القيمة |
|---|---|---|
| alertProperty | خاصية تنبيه V3 | "رابط التنبيه" "مستوى الثقة" "الثقة" "الارتباطات الموسعة" "ProductComponentName" "ProductName" "اسم الموفر" "RemediationSteps" "التقنيات" |
| القيمة | اسم العمود المراد استخدامه لتجاوز هذه الخاصية | سلسلة |
EntityMapping
| الاسم | الوصف | القيمة |
|---|---|---|
| entityType | نوع V3 للكيان المعين | "حساب" "AzureResource" "CloudApplication" "DNS" "ملف" "FileHash" "المضيف" "IP" "MailCluster" "MailMessage" "علبة البريد" "البرامج الضارة" "عملية" "RegistryKey" "RegistryValue" "SecurityGroup" "البريد المرسل" "URL" |
| تعيينات الحقل | صفيف تعيينات الحقول لتعيين الكيان المحدد | FieldMapping[] |
تعيين الحقل
| الاسم | الوصف | القيمة |
|---|---|---|
| اسم العمود | اسم العمود الذي سيتم تعيينه إلى المعرف | سلسلة |
| محدد | معرف V3 للكيان | سلسلة |
إعدادات تجميع الأحداث
| الاسم | الوصف | القيمة |
|---|---|---|
| تجميعKind | أنواع تجميع الأحداث | "AlertPerResult" "SingleAlert" |
تكوين الحدث
| الاسم | الوصف | القيمة |
|---|---|---|
| createIncident | إنشاء حوادث من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | bool (مطلوب) |
| تكوين المجموعة | تعيين كيفية تجميع التنبيهات التي يتم تشغيلها بواسطة قاعدة التحليلات هذه في حوادث | تكوين المجموعة |
تكوين المجموعة
| الاسم | الوصف | القيمة |
|---|---|---|
| ممكّن | تمكين التجميع | bool (مطلوب) |
| groupByAlertDetails | قائمة بتفاصيل التنبيه المراد تجميعها حسب (عند تحديد matchingMethod) | صفيف سلسلة يحتوي على أي من: "DisplayName" "الخطورة" |
| groupByCustomDetails | قائمة بمفاتيح التفاصيل المخصصة لتجميعها حسب (عند تحديد matchingMethod). يمكن استخدام المفاتيح المحددة في قاعدة التنبيه الحالية فقط. | سلسلة [] |
| groupByEntities | قائمة أنواع الكيانات المراد تجميعها حسب (عند تحديد matchingMethod). يمكن استخدام الكيانات المحددة في قاعدة التنبيه الحالية فقط. | صفيف سلسلة يحتوي على أي من: "حساب" "AzureResource" "CloudApplication" "DNS" "ملف" "FileHash" "المضيف" "IP" "MailCluster" "MailMessage" "علبة البريد" "البرامج الضارة" "عملية" "RegistryKey" "RegistryValue" "SecurityGroup" "البريد المرسل" "URL" |
| إعادة النظر عن البيانات | قصر المجموعة على التنبيهات التي تم إنشاؤها خلال مدة البحث (بتنسيق مدة ISO 8601) | سلسلة (مطلوب) |
| matchingMethod | أسلوب مطابقة التجميع. عندما يتم تحديد أسلوب واحد على الأقل من groupByEntities، groupByAlertDetails، يجب توفير groupByCustomDetails وليس فارغا. | "AllEntities" "AnyAlert" "محدد" (مطلوب) |
| إعادة فتحClosedIncident | إعادة فتح حوادث المطابقة المغلقة | bool (مطلوب) |
SentinelEntityMapping
| الاسم | الوصف | القيمة |
|---|---|---|
| اسم العمود | اسم العمود الذي سيتم تعيينه إلى SentinelEntities | سلسلة |
ScheduledAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | "مجدول" (مطلوب) |
| خصائص | خصائص قاعدة التنبيه المجدولة | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertDetailsOverride | تتجاوز تفاصيل التنبيه الإعدادات | AlertDetailsOverride |
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة |
| علامات تعريف مخصصة | قاموس أزواج قيم مفاتيح السلسلة للأعمدة المراد إرفاقها بالتنبيه | عنصر |
| الوصف | وصف قاعدة التنبيه. | سلسلة |
| اسم المستخدم | اسم العرض للتنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | سلسلة (مطلوب) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
| entityMappings | صفيف تعيينات الكيان لقاعدة التنبيه | EntityMapping[] |
| eventGroupingSettings | إعدادات تجميع الأحداث. | إعدادات تجميع الأحداث |
| تكوين الحدث | إعدادات الحوادث التي تم إنشاؤها من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه | تكوين الحدث |
| استعلام | الاستعلام الذي ينشئ تنبيهات لهذه القاعدة. | سلسلة |
| تسجيل الدخول إلى الاستعلام | التكرار (بتنسيق مدة ISO 8601) لتشغيل قاعدة التنبيه هذه. | سلسلة |
| queryPeriod | الفترة (بتنسيق مدة ISO 8601) التي تبحث فيها قاعدة التنبيه هذه. | سلسلة |
| sentinelEntitiesMappings | صفيف تعيينات كيان sentinel لقاعدة التنبيه | SentinelEntityMapping[] |
| الخطورة | خطورة التنبيهات التي تم إنشاؤها بواسطة قاعدة التنبيه هذه. | "مرتفع" "إعلامي" "منخفض" "متوسط" |
| منعDuration | المنع (بتنسيق مدة ISO 8601) للانتظار منذ آخر مرة تم فيها تشغيل قاعدة التنبيه هذه. | سلسلة (مطلوب) |
| suppressionEnabled | تحديد ما إذا كان منع قاعدة التنبيه هذه ممكنا أو معطلا. | bool (مطلوب) |
| التكتيكات | تكتيكات قاعدة التنبيه | صفيف سلسلة يحتوي على أي من: "مجموعة" "CommandAndControl" "CredentialAccess" "التهرب الدفاعي" "الاكتشاف" "التنفيذ" "النقل غير المصرح به" "التأثير" "الاختلال في المعالجة" "InhibitResponseFunction" "InitialAccess" "الحركة الجانبية" "استمرارية" "PreAttack" "PrivilegeEscalation" "الاستطلاع" "تطوير الموارد" |
| تقنيات | تقنيات قاعدة التنبيه | سلسلة [] |
| templateVersion | إصدار قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة - بالتنسيق {a.b.c}، حيث تكون جميع الأرقام، على سبيل المثال 0 {1.0.2} | سلسلة |
| triggerOperator | العملية مقابل الحد الذي يقوم بتشغيل قاعدة التنبيه. | "يساوي" "أكبر ثان" "أقل ثان" "NotEqual" |
| triggerThreshold | يؤدي الحد إلى تشغيل قاعدة التنبيه هذه. | int |
ThreatIntelligenceAlertRule
| الاسم | الوصف | القيمة |
|---|---|---|
| نوع | نوع قاعدة التنبيه | "ThreatIntelligence" (مطلوب) |
| خصائص | خصائص قاعدة تنبيه التحليل الذكي للمخاطر | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| الاسم | الوصف | القيمة |
|---|---|---|
| alertRuleTemplateName | اسم قالب قاعدة التنبيه المستخدم لإنشاء هذه القاعدة. | سلسلة (مطلوب) |
| ممكّن | تحديد ما إذا كانت قاعدة التنبيه هذه ممكنة أو معطلة. | bool (مطلوب) |
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ