Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
- neueste
- 2025-09-01
- 2025-07-01-preview
- 2025-06-01
- 2025-04-01-Preview-
- 2025-03-01
- 2025-01-01-Vorschau-
- 2024-10-01-Vorschau-
- 2024-09-01
- 2024-04-01-Preview-
- 2024-03-01
- 2024-01-01-Preview-
- 2023-12-01-Vorschau-
- 2023-11-01
- 2023-10-01-Preview-
- 2023-09-01-Preview-
- 2023-08-01-Preview-
- 2023-07-01-Preview-
- 2023-06-01-Preview-
- 2023-05-01-Preview-
- 2023-04-01-Preview-
- 2023-03-01-Preview-
- 2023-02-01
- 2023-02-01-Vorschau-
- 2022-12-01-Vorschau-
- 2022-11-01
- 2022-11-01-Preview-
- 2022-10-01-Preview-
- 2022-09-01-Preview-
- 2022-08-01
- 2022-08-01-Preview-
- 2022-07-01-Preview-
- 2022-06-01-Preview-
- 2022-05-01-Preview-
- 2022-04-01-Vorschau-
- 2022-01-01-Preview-
- 2021-10-01
- 2021-10-01-Preview-
- 2021-09-01-Preview-
- 2021-03-01-Preview-
- 2020-01-01
- 2019-01-01-Preview-
Bicep-Ressourcendefinition
Der alertRules-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.SecurityInsights/alertRules-Ressource zu erstellen, fügen Sie ihrer Vorlage die folgende Bicep hinzu.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2025-09-01' = {
etag: 'string'
name: 'string'
kind: 'string'
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Microsoft.SecurityInsights/alertRules-Objekte
Legen Sie die Art Eigenschaft fest, um den Objekttyp anzugeben.
Verwenden Sie für Fusion:
{
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
}
Verwenden Sie für MicrosoftSecurityIncidentCreation:
{
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
}
Verwenden Sie für geplantenFolgendes:
{
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {
{customized property}: 'string'
}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
}
Eigenschaftswerte
Microsoft.SecurityInsights/alertRules
| Name | Beschreibung | Wert |
|---|---|---|
| etag | Etag der Azure-Ressource | Schnur |
| Art | Legen Sie für den Typ FusionAlertRuleauf "Fusion" fest. Legen Sie für den Typ MicrosoftSecurityIncidentCreationAlertRuleauf "MicrosoftSecurityIncidentCreationAlertRule" fest. Legen Sie für den Typ ScheduledAlertRuleauf "Geplant" fest. | "Fusion" "MicrosoftSecurityIncidentCreation" "Geplant" (erforderlich) |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| Umfang | Verwenden Sie diese Verwendung beim Erstellen einer Ressource in einem Bereich, der sich von dem Bereitstellungsbereich unterscheidet. | Legen Sie diese Eigenschaft auf den symbolischen Namen einer Ressource fest, um die Erweiterungsressourceanzuwenden. |
AlertDetailsOverride
| Name | Beschreibung | Wert |
|---|---|---|
| alertDescriptionFormat | das Format, das Spaltennamen enthält, um die Warnungsbeschreibung außer Kraft zu setzen | Schnur |
| alertDisplayNameFormat | das Format, das Spaltennamen enthält, um den Warnungsnamen außer Kraft zu setzen | Schnur |
| alertDynamicProperties | Liste der zusätzlichen dynamischen Eigenschaften zum Außerkraftsetzen | AlertPropertyMapping[] |
| alertSeverityColumnName | der Spaltenname, der den Schweregrad der Warnung ausnimmt | Schnur |
| alertTacticsColumnName | der Spaltenname, aus dem die Warnungstaktiken entnommen werden sollen | Schnur |
AlertPropertyMapping
| Name | Beschreibung | Wert |
|---|---|---|
| alertEigenschaft | Die V3-Warnungseigenschaft | 'AlertLink' "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" 'Produktkomponentenname' 'Produktname' 'Anbietername' "RemediationSteps" "Techniken" |
| Wert | Der Spaltenname, der zum Überschreiben dieser Eigenschaft verwendet werden soll | Schnur |
Entitätszuordnung
| Name | Beschreibung | Wert |
|---|---|---|
| Entitätstyp | Der V3-Typ der zugeordneten Entität | "Konto" "AzureResource" "CloudApplication" 'DNS' 'Datei' 'FileHash' "Host" "IP" "Postfach" 'MailCluster' 'Mail-Nachricht' "Schadsoftware" "Prozess" 'RegistryKey' "RegistryValue" "SecurityGroup" 'EinreichungMail' 'URL' |
| fieldMappings | Array von Feldzuordnungen für die angegebene Entitätszuordnung | FieldMapping-[] |
EventGroupingEinstellungen
| Name | Beschreibung | Wert |
|---|---|---|
| AggregationArt | Die Ereignisgruppierungsaggregationstypen | 'AlertPerResult' "SingleAlert" |
Feld-Mapping
| Name | Beschreibung | Wert |
|---|---|---|
| Spaltenname | der Spaltenname, der dem Bezeichner zugeordnet werden soll | Schnur |
| Bezeichner | der V3-Bezeichner der Entität | Schnur |
FusionAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "Fusion" (erforderlich) |
| Eigenschaften | Fusion-Warnungsregeleigenschaften | FusionAlertRule-Eigenschaften |
FusionAlertRule-Eigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Zeichenfolge (erforderlich) |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
GruppierungKonfiguration
| Name | Beschreibung | Wert |
|---|---|---|
| ermöglichte | Gruppierung aktiviert | bool (erforderlich) |
| groupByAlertDetails | Eine Liste der Warnungsdetails, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist) | Zeichenfolgenarray, das eine der folgenden Elemente enthält: 'Anzeigename' "Schweregrad" |
| groupByCustomDetails | Eine Liste der benutzerdefinierten Detailschlüssel, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist). Es können nur Schlüssel verwendet werden, die in der aktuellen Warnungsregel definiert sind. | Zeichenfolge[] |
| groupByEntities | Eine Liste der Entitätstypen, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist). Es können nur Entitäten verwendet werden, die in der aktuellen Warnungsregel definiert sind. | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Konto" "AzureResource" "CloudApplication" 'DNS' 'Datei' 'FileHash' "Host" "IP" "Postfach" 'MailCluster' 'Mail-Nachricht' "Schadsoftware" "Prozess" 'RegistryKey' "RegistryValue" "SecurityGroup" 'EinreichungMail' 'URL' |
| lookbackDauer | Beschränken Sie die Gruppe auf Warnungen, die innerhalb der Nachschlagedauer erstellt wurden (im ISO 8601-Dauerformat) | Zeichenfolge (erforderlich) |
| matching-Methode | Gruppierungsabgleichsmethode. Wenn die Methode "Selected" mindestens eine von "groupByEntities" ist, muss "groupByAlertDetails" angegeben und nicht leer sein. | "AllEntities" "AnyAlert" 'Ausgewählt' (erforderlich) |
| reopenClosedIncident | Erneutes Öffnen geschlossener Übereinstimmende Vorfälle | bool (erforderlich) |
IncidentConfiguration (Vorfall-Konfiguration)
| Name | Beschreibung | Wert |
|---|---|---|
| createIncident (englisch) | Erstellen von Vorfällen aus Warnungen, die von dieser Analyseregel ausgelöst werden | bool (erforderlich) |
| GruppierungKonfiguration | Festlegen, wie die Warnungen, die von dieser Analyseregel ausgelöst werden, in Vorfälle gruppiert werden | GroupingConfiguration- |
MicrosoftSecurityIncidentCreationAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "MicrosoftSecurityIncidentCreation" (erforderlich) |
| Eigenschaften | MicrosoftSecurityIncidentCreation-Regeleigenschaften | MicrosoftSecurityIncidentCreationAlertRuleEigenschaften |
MicrosoftSecurityIncidentCreationAlertRuleEigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Schnur |
| Beschreibung | Die Beschreibung der Warnungsregel. | Schnur |
| Anzeigename | Der Anzeigename für Warnungen, die von dieser Warnungsregel erstellt wurden. | Zeichenfolge (erforderlich) |
| displayNamesExcludeFilter | displayNames der Warnungen, für die die Fälle nicht generiert werden | Zeichenfolge[] |
| displayNamesFilter | displayNames der Warnungen, auf denen die Fälle generiert werden | Zeichenfolge[] |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| ProduktFilter | Der ProductName der Warnungen, auf dem die Fälle generiert werden | "Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center für IoT" "Azure Security Center" "Microsoft Cloud App Security" (erforderlich) |
| SchweregradeFilter | Schweregrade der Warnungen, auf denen die Fälle generiert werden | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Hoch" "Informational" "Niedrig" "Mittel" |
ScheduledAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "Geplant" (erforderlich) |
| Eigenschaften | Eigenschaften der geplanten Warnungsregel | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Name | Beschreibung | Wert |
|---|
ScheduledAlertRuleProperties
| Name | Beschreibung | Wert |
|---|---|---|
| alertDetailsOverride | Die Einstellungen für Warnungsdetails überschreiben | AlertDetailsOverride- |
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Schnur |
| customDetails | Wörterbuch der Zeichenfolgenschlüssel-Wert-Paare von Spalten, die an die Warnung angefügt werden sollen | ScheduledAlertRuleCommonPropertiesCustomDetails |
| Beschreibung | Die Beschreibung der Warnungsregel. | Schnur |
| Anzeigename | Der Anzeigename für Warnungen, die von dieser Warnungsregel erstellt wurden. | Zeichenfolge (erforderlich) |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| entityMappings (Entitätszuordnungen) | Array der Entitätszuordnungen der Warnungsregel | EntityMapping-[] |
| eventGroupingEinstellungen | Die Ereignisgruppierungseinstellungen. | EventGroupingSettings- |
| incidentConfiguration | Die Einstellungen der Vorfälle, die aus Warnungen erstellt wurden, die von dieser Analyseregel ausgelöst wurden | IncidentConfiguration- |
| Frage | Die Abfrage, die Warnungen für diese Regel erstellt. | Schnur |
| queryFrequency | Die Häufigkeit (im ISO 8601-Dauerformat) für die Ausführung dieser Warnungsregel. | Schnur |
| queryPeriod | Der Zeitraum (im ISO 8601-Dauerformat), den diese Warnungsregel betrachtet. | Schnur |
| Strenge | Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden. | "Hoch" "Informational" "Niedrig" "Mittel" |
| suppressionDuration | Die Unterdrückung (im ISO 8601-Dauerformat), die seit dem letzten Auslösen dieser Warnungsregel gewartet wird. | Zeichenfolge (erforderlich) |
| suppressionEnabled | Bestimmt, ob die Unterdrückung für diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| Taktik | Die Taktiken der Warnungsregel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: 'Sammlung' 'CommandAndControl' "CredentialAccess" "Umgehung der Verteidigung" "Ermittlung" 'Ausführung' "Exfiltration" "Auswirkung" "ImpairProcessControl" 'InhibitResponseFunction' 'Initialer Zugriff' "LateralMovement" "Persistenz" "Vor dem Angriff" "PrivilegeEscalation" "Aufklärung" "Ressourcenentwicklung" |
| Techniken | Die Techniken der Warnungsregel | Zeichenfolge[] |
| templateVersion | Die Version der Warnungsregelvorlage zum Erstellen dieser Regel – im Format <a.b.c>, wobei alle Zahlen sind, z. B. 0 <1.0.2> | Schnur |
| triggerOperator | Der Vorgang gegen den Schwellenwert, der die Warnungsregel auslöst. | "Gleich" "GreaterThan" "LessThan" "Nicht gleich" |
| triggerThreshold (Auslöser) | Der Schwellenwert löst diese Warnungsregel aus. | Int |
ARM-Vorlagenressourcendefinition
Der alertRules-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.SecurityInsights/alertRules-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"etag": "string",
"name": "string",
"kind": "string"
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Microsoft.SecurityInsights/alertRules-Objekte
Legen Sie die Art Eigenschaft fest, um den Objekttyp anzugeben.
Verwenden Sie für Fusion:
{
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
}
Verwenden Sie für MicrosoftSecurityIncidentCreation:
{
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
}
Verwenden Sie für geplantenFolgendes:
{
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {
"{customized property}": "string"
},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
}
Eigenschaftswerte
Microsoft.SecurityInsights/alertRules
| Name | Beschreibung | Wert |
|---|---|---|
| apiVersion (Englisch) | Die API-Version | '2025-09-01' |
| etag | Etag der Azure-Ressource | Schnur |
| Art | Legen Sie für den Typ FusionAlertRuleauf "Fusion" fest. Legen Sie für den Typ MicrosoftSecurityIncidentCreationAlertRuleauf "MicrosoftSecurityIncidentCreationAlertRule" fest. Legen Sie für den Typ ScheduledAlertRuleauf "Geplant" fest. | "Fusion" "MicrosoftSecurityIncidentCreation" "Geplant" (erforderlich) |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| Art | Der Ressourcentyp | "Microsoft.SecurityInsights/alertRules" |
AlertDetailsOverride
| Name | Beschreibung | Wert |
|---|---|---|
| alertDescriptionFormat | das Format, das Spaltennamen enthält, um die Warnungsbeschreibung außer Kraft zu setzen | Schnur |
| alertDisplayNameFormat | das Format, das Spaltennamen enthält, um den Warnungsnamen außer Kraft zu setzen | Schnur |
| alertDynamicProperties | Liste der zusätzlichen dynamischen Eigenschaften zum Außerkraftsetzen | AlertPropertyMapping[] |
| alertSeverityColumnName | der Spaltenname, der den Schweregrad der Warnung ausnimmt | Schnur |
| alertTacticsColumnName | der Spaltenname, aus dem die Warnungstaktiken entnommen werden sollen | Schnur |
AlertPropertyMapping
| Name | Beschreibung | Wert |
|---|---|---|
| alertEigenschaft | Die V3-Warnungseigenschaft | 'AlertLink' "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" 'Produktkomponentenname' 'Produktname' 'Anbietername' "RemediationSteps" "Techniken" |
| Wert | Der Spaltenname, der zum Überschreiben dieser Eigenschaft verwendet werden soll | Schnur |
Entitätszuordnung
| Name | Beschreibung | Wert |
|---|---|---|
| Entitätstyp | Der V3-Typ der zugeordneten Entität | "Konto" "AzureResource" "CloudApplication" 'DNS' 'Datei' 'FileHash' "Host" "IP" "Postfach" 'MailCluster' 'Mail-Nachricht' "Schadsoftware" "Prozess" 'RegistryKey' "RegistryValue" "SecurityGroup" 'EinreichungMail' 'URL' |
| fieldMappings | Array von Feldzuordnungen für die angegebene Entitätszuordnung | FieldMapping-[] |
EventGroupingEinstellungen
| Name | Beschreibung | Wert |
|---|---|---|
| AggregationArt | Die Ereignisgruppierungsaggregationstypen | 'AlertPerResult' "SingleAlert" |
Feld-Mapping
| Name | Beschreibung | Wert |
|---|---|---|
| Spaltenname | der Spaltenname, der dem Bezeichner zugeordnet werden soll | Schnur |
| Bezeichner | der V3-Bezeichner der Entität | Schnur |
FusionAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "Fusion" (erforderlich) |
| Eigenschaften | Fusion-Warnungsregeleigenschaften | FusionAlertRule-Eigenschaften |
FusionAlertRule-Eigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Zeichenfolge (erforderlich) |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
GruppierungKonfiguration
| Name | Beschreibung | Wert |
|---|---|---|
| ermöglichte | Gruppierung aktiviert | bool (erforderlich) |
| groupByAlertDetails | Eine Liste der Warnungsdetails, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist) | Zeichenfolgenarray, das eine der folgenden Elemente enthält: 'Anzeigename' "Schweregrad" |
| groupByCustomDetails | Eine Liste der benutzerdefinierten Detailschlüssel, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist). Es können nur Schlüssel verwendet werden, die in der aktuellen Warnungsregel definiert sind. | Zeichenfolge[] |
| groupByEntities | Eine Liste der Entitätstypen, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist). Es können nur Entitäten verwendet werden, die in der aktuellen Warnungsregel definiert sind. | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Konto" "AzureResource" "CloudApplication" 'DNS' 'Datei' 'FileHash' "Host" "IP" "Postfach" 'MailCluster' 'Mail-Nachricht' "Schadsoftware" "Prozess" 'RegistryKey' "RegistryValue" "SecurityGroup" 'EinreichungMail' 'URL' |
| lookbackDauer | Beschränken Sie die Gruppe auf Warnungen, die innerhalb der Nachschlagedauer erstellt wurden (im ISO 8601-Dauerformat) | Zeichenfolge (erforderlich) |
| matching-Methode | Gruppierungsabgleichsmethode. Wenn die Methode "Selected" mindestens eine von "groupByEntities" ist, muss "groupByAlertDetails" angegeben und nicht leer sein. | "AllEntities" "AnyAlert" 'Ausgewählt' (erforderlich) |
| reopenClosedIncident | Erneutes Öffnen geschlossener Übereinstimmende Vorfälle | bool (erforderlich) |
IncidentConfiguration (Vorfall-Konfiguration)
| Name | Beschreibung | Wert |
|---|---|---|
| createIncident (englisch) | Erstellen von Vorfällen aus Warnungen, die von dieser Analyseregel ausgelöst werden | bool (erforderlich) |
| GruppierungKonfiguration | Festlegen, wie die Warnungen, die von dieser Analyseregel ausgelöst werden, in Vorfälle gruppiert werden | GroupingConfiguration- |
MicrosoftSecurityIncidentCreationAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "MicrosoftSecurityIncidentCreation" (erforderlich) |
| Eigenschaften | MicrosoftSecurityIncidentCreation-Regeleigenschaften | MicrosoftSecurityIncidentCreationAlertRuleEigenschaften |
MicrosoftSecurityIncidentCreationAlertRuleEigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Schnur |
| Beschreibung | Die Beschreibung der Warnungsregel. | Schnur |
| Anzeigename | Der Anzeigename für Warnungen, die von dieser Warnungsregel erstellt wurden. | Zeichenfolge (erforderlich) |
| displayNamesExcludeFilter | displayNames der Warnungen, für die die Fälle nicht generiert werden | Zeichenfolge[] |
| displayNamesFilter | displayNames der Warnungen, auf denen die Fälle generiert werden | Zeichenfolge[] |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| ProduktFilter | Der ProductName der Warnungen, auf dem die Fälle generiert werden | "Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center für IoT" "Azure Security Center" "Microsoft Cloud App Security" (erforderlich) |
| SchweregradeFilter | Schweregrade der Warnungen, auf denen die Fälle generiert werden | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Hoch" "Informational" "Niedrig" "Mittel" |
ScheduledAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "Geplant" (erforderlich) |
| Eigenschaften | Eigenschaften der geplanten Warnungsregel | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Name | Beschreibung | Wert |
|---|
ScheduledAlertRuleProperties
| Name | Beschreibung | Wert |
|---|---|---|
| alertDetailsOverride | Die Einstellungen für Warnungsdetails überschreiben | AlertDetailsOverride- |
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Schnur |
| customDetails | Wörterbuch der Zeichenfolgenschlüssel-Wert-Paare von Spalten, die an die Warnung angefügt werden sollen | ScheduledAlertRuleCommonPropertiesCustomDetails |
| Beschreibung | Die Beschreibung der Warnungsregel. | Schnur |
| Anzeigename | Der Anzeigename für Warnungen, die von dieser Warnungsregel erstellt wurden. | Zeichenfolge (erforderlich) |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| entityMappings (Entitätszuordnungen) | Array der Entitätszuordnungen der Warnungsregel | EntityMapping-[] |
| eventGroupingEinstellungen | Die Ereignisgruppierungseinstellungen. | EventGroupingSettings- |
| incidentConfiguration | Die Einstellungen der Vorfälle, die aus Warnungen erstellt wurden, die von dieser Analyseregel ausgelöst wurden | IncidentConfiguration- |
| Frage | Die Abfrage, die Warnungen für diese Regel erstellt. | Schnur |
| queryFrequency | Die Häufigkeit (im ISO 8601-Dauerformat) für die Ausführung dieser Warnungsregel. | Schnur |
| queryPeriod | Der Zeitraum (im ISO 8601-Dauerformat), den diese Warnungsregel betrachtet. | Schnur |
| Strenge | Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden. | "Hoch" "Informational" "Niedrig" "Mittel" |
| suppressionDuration | Die Unterdrückung (im ISO 8601-Dauerformat), die seit dem letzten Auslösen dieser Warnungsregel gewartet wird. | Zeichenfolge (erforderlich) |
| suppressionEnabled | Bestimmt, ob die Unterdrückung für diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| Taktik | Die Taktiken der Warnungsregel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: 'Sammlung' 'CommandAndControl' "CredentialAccess" "Umgehung der Verteidigung" "Ermittlung" 'Ausführung' "Exfiltration" "Auswirkung" "ImpairProcessControl" 'InhibitResponseFunction' 'Initialer Zugriff' "LateralMovement" "Persistenz" "Vor dem Angriff" "PrivilegeEscalation" "Aufklärung" "Ressourcenentwicklung" |
| Techniken | Die Techniken der Warnungsregel | Zeichenfolge[] |
| templateVersion | Die Version der Warnungsregelvorlage zum Erstellen dieser Regel – im Format <a.b.c>, wobei alle Zahlen sind, z. B. 0 <1.0.2> | Schnur |
| triggerOperator | Der Vorgang gegen den Schwellenwert, der die Warnungsregel auslöst. | "Gleich" "GreaterThan" "LessThan" "Nicht gleich" |
| triggerThreshold (Auslöser) | Der Schwellenwert löst diese Warnungsregel aus. | Int |
Verwendungsbeispiele
Azure-Schnellstartvorlagen
Die folgenden Azure-Schnellstartvorlagen diesen Ressourcentyp bereitstellen.
| Schablone | Beschreibung |
|---|---|
Erstellt eine neue geplante Microsoft Sentinel-Analyseregel
|
In diesem Beispiel wird gezeigt, wie Sie eine neue geplante Analyseregel in Microsoft Sentinel erstellen. |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der alertRules-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.SecurityInsights/alertRules-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
etag = "string"
name = "string"
kind = "string"
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Microsoft.SecurityInsights/alertRules-Objekte
Legen Sie die Art Eigenschaft fest, um den Objekttyp anzugeben.
Verwenden Sie für Fusion:
{
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
}
Verwenden Sie für MicrosoftSecurityIncidentCreation:
{
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
}
Verwenden Sie für geplantenFolgendes:
{
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {
{customized property} = "string"
}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
}
Eigenschaftswerte
Microsoft.SecurityInsights/alertRules
| Name | Beschreibung | Wert |
|---|---|---|
| etag | Etag der Azure-Ressource | Schnur |
| Art | Legen Sie für den Typ FusionAlertRuleauf "Fusion" fest. Legen Sie für den Typ MicrosoftSecurityIncidentCreationAlertRuleauf "MicrosoftSecurityIncidentCreationAlertRule" fest. Legen Sie für den Typ ScheduledAlertRuleauf "Geplant" fest. | "Fusion" "MicrosoftSecurityIncidentCreation" "Geplant" (erforderlich) |
| Name | Der Ressourcenname | Zeichenfolge (erforderlich) |
| Eltern-ID | Die ID der Ressource, auf die diese Erweiterungsressource angewendet werden soll. | Zeichenfolge (erforderlich) |
| Art | Der Ressourcentyp | "Microsoft.SecurityInsights/alertRules@2025-09-01" |
AlertDetailsOverride
| Name | Beschreibung | Wert |
|---|---|---|
| alertDescriptionFormat | das Format, das Spaltennamen enthält, um die Warnungsbeschreibung außer Kraft zu setzen | Schnur |
| alertDisplayNameFormat | das Format, das Spaltennamen enthält, um den Warnungsnamen außer Kraft zu setzen | Schnur |
| alertDynamicProperties | Liste der zusätzlichen dynamischen Eigenschaften zum Außerkraftsetzen | AlertPropertyMapping[] |
| alertSeverityColumnName | der Spaltenname, der den Schweregrad der Warnung ausnimmt | Schnur |
| alertTacticsColumnName | der Spaltenname, aus dem die Warnungstaktiken entnommen werden sollen | Schnur |
AlertPropertyMapping
| Name | Beschreibung | Wert |
|---|---|---|
| alertEigenschaft | Die V3-Warnungseigenschaft | 'AlertLink' "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" 'Produktkomponentenname' 'Produktname' 'Anbietername' "RemediationSteps" "Techniken" |
| Wert | Der Spaltenname, der zum Überschreiben dieser Eigenschaft verwendet werden soll | Schnur |
Entitätszuordnung
| Name | Beschreibung | Wert |
|---|---|---|
| Entitätstyp | Der V3-Typ der zugeordneten Entität | "Konto" "AzureResource" "CloudApplication" 'DNS' 'Datei' 'FileHash' "Host" "IP" "Postfach" 'MailCluster' 'Mail-Nachricht' "Schadsoftware" "Prozess" 'RegistryKey' "RegistryValue" "SecurityGroup" 'EinreichungMail' 'URL' |
| fieldMappings | Array von Feldzuordnungen für die angegebene Entitätszuordnung | FieldMapping-[] |
EventGroupingEinstellungen
| Name | Beschreibung | Wert |
|---|---|---|
| AggregationArt | Die Ereignisgruppierungsaggregationstypen | 'AlertPerResult' "SingleAlert" |
Feld-Mapping
| Name | Beschreibung | Wert |
|---|---|---|
| Spaltenname | der Spaltenname, der dem Bezeichner zugeordnet werden soll | Schnur |
| Bezeichner | der V3-Bezeichner der Entität | Schnur |
FusionAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "Fusion" (erforderlich) |
| Eigenschaften | Fusion-Warnungsregeleigenschaften | FusionAlertRule-Eigenschaften |
FusionAlertRule-Eigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Zeichenfolge (erforderlich) |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
GruppierungKonfiguration
| Name | Beschreibung | Wert |
|---|---|---|
| ermöglichte | Gruppierung aktiviert | bool (erforderlich) |
| groupByAlertDetails | Eine Liste der Warnungsdetails, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist) | Zeichenfolgenarray, das eine der folgenden Elemente enthält: 'Anzeigename' "Schweregrad" |
| groupByCustomDetails | Eine Liste der benutzerdefinierten Detailschlüssel, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist). Es können nur Schlüssel verwendet werden, die in der aktuellen Warnungsregel definiert sind. | Zeichenfolge[] |
| groupByEntities | Eine Liste der Entitätstypen, nach der gruppiert werden soll (wenn matchingMethod ausgewählt ist). Es können nur Entitäten verwendet werden, die in der aktuellen Warnungsregel definiert sind. | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Konto" "AzureResource" "CloudApplication" 'DNS' 'Datei' 'FileHash' "Host" "IP" "Postfach" 'MailCluster' 'Mail-Nachricht' "Schadsoftware" "Prozess" 'RegistryKey' "RegistryValue" "SecurityGroup" 'EinreichungMail' 'URL' |
| lookbackDauer | Beschränken Sie die Gruppe auf Warnungen, die innerhalb der Nachschlagedauer erstellt wurden (im ISO 8601-Dauerformat) | Zeichenfolge (erforderlich) |
| matching-Methode | Gruppierungsabgleichsmethode. Wenn die Methode "Selected" mindestens eine von "groupByEntities" ist, muss "groupByAlertDetails" angegeben und nicht leer sein. | "AllEntities" "AnyAlert" 'Ausgewählt' (erforderlich) |
| reopenClosedIncident | Erneutes Öffnen geschlossener Übereinstimmende Vorfälle | bool (erforderlich) |
IncidentConfiguration (Vorfall-Konfiguration)
| Name | Beschreibung | Wert |
|---|---|---|
| createIncident (englisch) | Erstellen von Vorfällen aus Warnungen, die von dieser Analyseregel ausgelöst werden | bool (erforderlich) |
| GruppierungKonfiguration | Festlegen, wie die Warnungen, die von dieser Analyseregel ausgelöst werden, in Vorfälle gruppiert werden | GroupingConfiguration- |
MicrosoftSecurityIncidentCreationAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "MicrosoftSecurityIncidentCreation" (erforderlich) |
| Eigenschaften | MicrosoftSecurityIncidentCreation-Regeleigenschaften | MicrosoftSecurityIncidentCreationAlertRuleEigenschaften |
MicrosoftSecurityIncidentCreationAlertRuleEigenschaften
| Name | Beschreibung | Wert |
|---|---|---|
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Schnur |
| Beschreibung | Die Beschreibung der Warnungsregel. | Schnur |
| Anzeigename | Der Anzeigename für Warnungen, die von dieser Warnungsregel erstellt wurden. | Zeichenfolge (erforderlich) |
| displayNamesExcludeFilter | displayNames der Warnungen, für die die Fälle nicht generiert werden | Zeichenfolge[] |
| displayNamesFilter | displayNames der Warnungen, auf denen die Fälle generiert werden | Zeichenfolge[] |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| ProduktFilter | Der ProductName der Warnungen, auf dem die Fälle generiert werden | "Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center für IoT" "Azure Security Center" "Microsoft Cloud App Security" (erforderlich) |
| SchweregradeFilter | Schweregrade der Warnungen, auf denen die Fälle generiert werden | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Hoch" "Informational" "Niedrig" "Mittel" |
ScheduledAlertRule
| Name | Beschreibung | Wert |
|---|---|---|
| Art | Die Art der Warnungsregel | "Geplant" (erforderlich) |
| Eigenschaften | Eigenschaften der geplanten Warnungsregel | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Name | Beschreibung | Wert |
|---|
ScheduledAlertRuleProperties
| Name | Beschreibung | Wert |
|---|---|---|
| alertDetailsOverride | Die Einstellungen für Warnungsdetails überschreiben | AlertDetailsOverride- |
| alertRuleTemplateName | Der Name der Warnungsregelvorlage, die zum Erstellen dieser Regel verwendet wird. | Schnur |
| customDetails | Wörterbuch der Zeichenfolgenschlüssel-Wert-Paare von Spalten, die an die Warnung angefügt werden sollen | ScheduledAlertRuleCommonPropertiesCustomDetails |
| Beschreibung | Die Beschreibung der Warnungsregel. | Schnur |
| Anzeigename | Der Anzeigename für Warnungen, die von dieser Warnungsregel erstellt wurden. | Zeichenfolge (erforderlich) |
| ermöglichte | Bestimmt, ob diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| entityMappings (Entitätszuordnungen) | Array der Entitätszuordnungen der Warnungsregel | EntityMapping-[] |
| eventGroupingEinstellungen | Die Ereignisgruppierungseinstellungen. | EventGroupingSettings- |
| incidentConfiguration | Die Einstellungen der Vorfälle, die aus Warnungen erstellt wurden, die von dieser Analyseregel ausgelöst wurden | IncidentConfiguration- |
| Frage | Die Abfrage, die Warnungen für diese Regel erstellt. | Schnur |
| queryFrequency | Die Häufigkeit (im ISO 8601-Dauerformat) für die Ausführung dieser Warnungsregel. | Schnur |
| queryPeriod | Der Zeitraum (im ISO 8601-Dauerformat), den diese Warnungsregel betrachtet. | Schnur |
| Strenge | Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden. | "Hoch" "Informational" "Niedrig" "Mittel" |
| suppressionDuration | Die Unterdrückung (im ISO 8601-Dauerformat), die seit dem letzten Auslösen dieser Warnungsregel gewartet wird. | Zeichenfolge (erforderlich) |
| suppressionEnabled | Bestimmt, ob die Unterdrückung für diese Warnungsregel aktiviert oder deaktiviert ist. | bool (erforderlich) |
| Taktik | Die Taktiken der Warnungsregel | Zeichenfolgenarray, das eine der folgenden Elemente enthält: 'Sammlung' 'CommandAndControl' "CredentialAccess" "Umgehung der Verteidigung" "Ermittlung" 'Ausführung' "Exfiltration" "Auswirkung" "ImpairProcessControl" 'InhibitResponseFunction' 'Initialer Zugriff' "LateralMovement" "Persistenz" "Vor dem Angriff" "PrivilegeEscalation" "Aufklärung" "Ressourcenentwicklung" |
| Techniken | Die Techniken der Warnungsregel | Zeichenfolge[] |
| templateVersion | Die Version der Warnungsregelvorlage zum Erstellen dieser Regel – im Format <a.b.c>, wobei alle Zahlen sind, z. B. 0 <1.0.2> | Schnur |
| triggerOperator | Der Vorgang gegen den Schwellenwert, der die Warnungsregel auslöst. | "Gleich" "GreaterThan" "LessThan" "Nicht gleich" |
| triggerThreshold (Auslöser) | Der Schwellenwert löst diese Warnungsregel aus. | Int |
Verwendungsbeispiele
Terraform-Beispiele
Ein grundlegendes Beispiel für die Bereitstellung der Sentinel-Warnregel.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "workspace" {
type = "Microsoft.OperationalInsights/workspaces@2022-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
features = {
disableLocalAuth = false
enableLogAccessUsingOnlyResourcePermissions = true
}
publicNetworkAccessForIngestion = "Enabled"
publicNetworkAccessForQuery = "Enabled"
retentionInDays = 30
sku = {
name = "PerGB2018"
}
workspaceCapping = {
dailyQuotaGb = -1
}
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
resource "azapi_resource" "onboardingState" {
type = "Microsoft.SecurityInsights/onboardingStates@2023-06-01-preview"
parent_id = azapi_resource.workspace.id
name = "default"
body = {
properties = {
customerManagedKey = false
}
}
}
resource "azapi_resource" "alertRule" {
type = "Microsoft.SecurityInsights/alertRules@2022-10-01-preview"
parent_id = azapi_resource.workspace.id
name = var.resource_name
body = {
kind = "NRT"
properties = {
description = ""
displayName = "Some Rule"
enabled = true
query = "AzureActivity |\n where OperationName == \"Create or Update Virtual Machine\" or OperationName ==\"Create Deployment\" |\n where ActivityStatus == \"Succeeded\" |\n make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller\n"
severity = "High"
suppressionDuration = "PT5H"
suppressionEnabled = false
tactics = [
]
techniques = [
]
}
}
schema_validation_enabled = false
response_export_values = ["*"]
depends_on = [azapi_resource.onboardingState]
}