Freigeben über

Automations - Get

  • Referenz
Service:
Defender for Cloud
API Version:
2023-12-01-preview

Ruft Informationen zum Modell einer Sicherheitsautomatisierung ab.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/automations/{automationName}?api-version=2023-12-01-preview

URI-Parameter

Name In Erforderlich Typ Beschreibung
automationName
 path True

string

Der Name der Sicherheitsautomatisierung.
resourceGroupName
 path True

string

Der Name der Ressourcengruppe im Abonnement des Benutzers. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet.

Regex pattern: ^[-\w\._\(\)]+$
subscriptionId
 path True

string

Azure-Abonnement-ID

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

API-Version für den Vorgang

Antworten

Name Typ Beschreibung
200 OK

Automation

OK
Other Status Codes

CloudError

Fehlerantwort, die beschreibt, warum der Vorgang nicht erfolgreich durchgeführt werden konnte.

Sicherheit

azure_auth

Azure Active Directory-OAuth2-Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Beschreibung
user_impersonation Identitätswechsel Ihres Benutzerkontos

Beispiele

Retrieve a security automation

Sample Request

GET https://management.azure.com/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation?api-version=2023-12-01-preview

Sample Response

Status code:
200 
{
  "id": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation",
  "name": "exampleAutomation",
  "type": "Microsoft.Security/automations",
  "etag": "etag value",
  "location": "Central US",
  "tags": {},
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment of type customAssessment",
    "isEnabled": true,
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments",
        "ruleSets": [
          {
            "rules": [
              {
                "propertyJPath": "$.Entity.AssessmentType",
                "propertyType": "String",
                "expectedValue": "customAssessment",
                "operator": "Equals"
              }
            ]
          }
        ]
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp"
      }
    ]
  }
}

Definitionen

Name Beschreibung
Automation

Die Sicherheitsautomatisierungsressource.
AutomationActionEventHub

Der Event Hub-Ziel, in den Ereignisdaten exportiert werden. Weitere Informationen zu Microsoft Defender für fortlaufende Cloudexportfunktionen finden Sie unterhttps://aka.ms/ASCExportLearnMore
AutomationActionLogicApp

Die Logik-App-Aktion, die ausgelöst werden soll. Weitere Informationen zu den Workflowautomatisierungsfunktionen von Microsoft Defender für Cloud finden Sie unterhttps://aka.ms/ASCWorkflowAutomationLearnMore
AutomationActionWorkspace

Der Log Analytics-Arbeitsbereich, in den Ereignisdaten exportiert werden. Sicherheitswarnungsdaten befinden sich in der Tabelle "SecurityAlert", und die Bewertungsdaten befinden sich in der Tabelle "SecurityRecommendation" (unter den Lösungen "Security"/"SecurityCenterFree"). Beachten Sie, dass zum Anzeigen der Daten im Arbeitsbereich die Kostenlose/Standardlösung Security Center Log Analytics für diesen Arbeitsbereich aktiviert werden muss. Weitere Informationen zu Microsoft Defender für fortlaufende Cloudexportfunktionen finden Sie unterhttps://aka.ms/ASCExportLearnMore
AutomationRuleSet

Ein Regelsatz, der alle zugehörigen Regeln bei einem Ereignisabfangen auswertet. Nur wenn alle enthaltenen Regeln im Regelsatz als "true" ausgewertet werden, löst das Ereignis die definierten Aktionen aus.
AutomationScope

Ein einzelner Automatisierungsbereich.
AutomationSource

Die Quellereignistypen, die den Sicherheitsautomatisierungsregelsatz auswerten. Beispiel: Sicherheitswarnungen und Sicherheitsbewertungen. Weitere Informationen zu den unterstützten Datenmodellschemas für Sicherheitsereignisse finden Sie unter https://aka.ms/ASCAutomationSchemas.
AutomationTriggeringRule

Eine Regel, die beim Abfangen von Ereignissen ausgewertet wird. Die Regel wird konfiguriert, indem ein bestimmter Wert aus dem Ereignismodell mit einem erwarteten Wert verglichen wird. Dieser Vergleich erfolgt mithilfe eines der unterstützten Operatoren.
CloudError

Allgemeine Fehlerantwort für alle Azure Resource Manager-APIs, zur Rückgabe von Fehlerdetails für fehlgeschlagene Vorgänge. (Dies folgt auch dem OData-Fehlerantwortformat.).
CloudErrorBody

Die Fehlerdetails.
ErrorAdditionalInfo

Zusätzliche Informationen zum Ressourcenverwaltungsfehler.
EventSource

Ein gültiger Ereignisquellentyp.
Operator

Ein gültiger Vergleichsoperator, der verwendet werden soll. Für String PropertyType wird ein Vergleich ohne Beachtung der Groß-/Kleinschreibung angewendet.
PropertyType

Der Datentyp der verglichenen Operanden (String, Integer, Gleitkommazahl oder ein boolescher Wert [true/false]]

Automation

Die Sicherheitsautomatisierungsressource.

Name Typ Beschreibung
etag

string

Das Entitätstag wird zum Vergleichen von zwei oder mehr Entitäten aus derselben angeforderten Ressource verwendet.
id

string

Ressourcen-ID
kind

string

Art der Ressource
location

string

Speicherort der Ressource
name

string

Ressourcenname
properties.actions AutomationAction[]:

Eine Auflistung der Aktionen, die ausgelöst werden, wenn alle konfigurierten Regelauswertungen innerhalb mindestens eines Regelsatzes true sind.
properties.description

string

Die Beschreibung der Sicherheitsautomatisierung.
properties.isEnabled

boolean

Gibt an, ob die Sicherheitsautomatisierung aktiviert ist.
properties.scopes

AutomationScope[]

Eine Auflistung von Bereichen, auf die die Logik für Sicherheitsautomatisierungen angewendet wird. Unterstützte Bereiche sind das Abonnement selbst oder eine Ressourcengruppe unter diesem Abonnement. Die Automatisierung gilt nur für definierte Bereiche.
properties.sources

AutomationSource[]

Eine Auflistung der Quellereignistypen, die den Sicherheitsautomatisierungssatz auswerten.
tags

object

Eine Liste mit Schlüssel-/Wertpaaren, welche die Ressource beschreiben.
type

string

Ressourcentyp

AutomationActionEventHub

Der Event Hub-Ziel, in den Ereignisdaten exportiert werden. Weitere Informationen zu Microsoft Defender für fortlaufende Cloudexportfunktionen finden Sie unterhttps://aka.ms/ASCExportLearnMore

Name Typ Beschreibung
actionType string:

EventHub

Der Typ der Aktion, die von der Automatisierung ausgelöst wird
connectionString

string

Der Event Hub-ziel-Verbindungszeichenfolge (es wird in keiner Antwort enthalten sein).
eventHubResourceId

string

Die Azure-Ressourcen-ID des Ziel-Event Hubs.
isTrustedServiceEnabled

boolean

Gibt an, ob der vertrauenswürdige Dienst aktiviert ist oder nicht.
sasPolicyName

string

Der Name der Ziel-Event Hub-SAS-Richtlinie.

AutomationActionLogicApp

Die Logik-App-Aktion, die ausgelöst werden soll. Weitere Informationen zu den Workflowautomatisierungsfunktionen von Microsoft Defender für Cloud finden Sie unterhttps://aka.ms/ASCWorkflowAutomationLearnMore

Name Typ Beschreibung
actionType string:

LogicApp

Der Typ der Aktion, die von der Automatisierung ausgelöst wird
logicAppResourceId

string

Die ausgelöste Azure-Ressourcen-ID der Logik-App. Dies kann sich auch in anderen Abonnements befinden, da Sie über Berechtigungen zum Auslösen der Logik-App verfügen.
uri

string

Der Logik-App-Trigger-URI-Endpunkt (er wird in keiner Antwort eingeschlossen).

AutomationActionWorkspace

Der Log Analytics-Arbeitsbereich, in den Ereignisdaten exportiert werden. Sicherheitswarnungsdaten befinden sich in der Tabelle "SecurityAlert", und die Bewertungsdaten befinden sich in der Tabelle "SecurityRecommendation" (unter den Lösungen "Security"/"SecurityCenterFree"). Beachten Sie, dass zum Anzeigen der Daten im Arbeitsbereich die Kostenlose/Standardlösung Security Center Log Analytics für diesen Arbeitsbereich aktiviert werden muss. Weitere Informationen zu Microsoft Defender für fortlaufende Cloudexportfunktionen finden Sie unterhttps://aka.ms/ASCExportLearnMore

Name Typ Beschreibung
actionType string:

Workspace

Der Typ der Aktion, die von der Automatisierung ausgelöst wird
workspaceResourceId

string

Die vollqualifizierte Azure-Ressourcen-ID des Log Analytics-Arbeitsbereichs.

AutomationRuleSet

Ein Regelsatz, der alle zugehörigen Regeln bei einem Ereignisabfangen auswertet. Nur wenn alle enthaltenen Regeln im Regelsatz als "true" ausgewertet werden, löst das Ereignis die definierten Aktionen aus.

Name Typ Beschreibung
rules

AutomationTriggeringRule[]

Eine Regel, die beim Abfangen von Ereignissen ausgewertet wird. Die Regel wird konfiguriert, indem ein bestimmter Wert aus dem Ereignismodell mit einem erwarteten Wert verglichen wird. Dieser Vergleich erfolgt mithilfe eines der unterstützten Operatoren.

AutomationScope

Ein einzelner Automatisierungsbereich.

Name Typ Beschreibung
description

string

Die Beschreibung des Ressourcenbereichs.
scopePath

string

Der Ressourcenbereichspfad. Dies kann das Abonnement sein, für das die Automatisierung definiert ist, oder eine Ressourcengruppe unter diesem Abonnement (vollqualifizierte Azure-Ressourcen-IDs).

AutomationSource

Die Quellereignistypen, die den Sicherheitsautomatisierungsregelsatz auswerten. Beispiel: Sicherheitswarnungen und Sicherheitsbewertungen. Weitere Informationen zu den unterstützten Datenmodellschemas für Sicherheitsereignisse finden Sie unter https://aka.ms/ASCAutomationSchemas.

Name Typ Beschreibung
eventSource

EventSource

Ein gültiger Ereignisquellentyp.
ruleSets

AutomationRuleSet[]

Ein Satz von Regeln, die beim Abfangen von Ereignissen ausgewertet werden. Zwischen definierten Regelsätzen (logisches "or") wird eine logische Disjunktion angewendet.

AutomationTriggeringRule

Eine Regel, die beim Abfangen von Ereignissen ausgewertet wird. Die Regel wird konfiguriert, indem ein bestimmter Wert aus dem Ereignismodell mit einem erwarteten Wert verglichen wird. Dieser Vergleich erfolgt mithilfe eines der unterstützten Operatoren.

Name Typ Beschreibung
expectedValue

string

Der erwartete Wert.
operator

Operator

Ein gültiger Vergleichsoperator, der verwendet werden soll. Für String PropertyType wird ein Vergleich ohne Beachtung der Groß-/Kleinschreibung angewendet.
propertyJPath

string

Der JPath der Entitätsmodelleigenschaft, die überprüft werden soll.
propertyType

PropertyType

Der Datentyp der verglichenen Operanden (String, Integer, Gleitkommazahl oder ein boolescher Wert [true/false]]

CloudError

Allgemeine Fehlerantwort für alle Azure Resource Manager-APIs, zur Rückgabe von Fehlerdetails für fehlgeschlagene Vorgänge. (Dies folgt auch dem OData-Fehlerantwortformat.).

Name Typ Beschreibung
error.additionalInfo

ErrorAdditionalInfo[]

Die zusätzlichen Fehlerinformationen.
error.code

string

Der Fehlercode.
error.details

CloudErrorBody[]

Die Fehlerdetails.
error.message

string

Die Fehlermeldung.
error.target

string

Das Fehlerziel.

CloudErrorBody

Die Fehlerdetails.

Name Typ Beschreibung
additionalInfo

ErrorAdditionalInfo[]

Die zusätzlichen Fehlerinformationen.
code

string

Der Fehlercode.
details

CloudErrorBody[]

Die Fehlerdetails.
message

string

Die Fehlermeldung.
target

string

Das Fehlerziel.

ErrorAdditionalInfo

Zusätzliche Informationen zum Ressourcenverwaltungsfehler.

Name Typ Beschreibung
info

object

Zusätzliche Informationen.
type

string

Typ der zusätzlichen Informationen.

EventSource

Ein gültiger Ereignisquellentyp.

Name Typ Beschreibung
Alerts

string

Assessments

string

AssessmentsSnapshot

string

AttackPaths

string

AttackPathsSnapshot

string

RegulatoryComplianceAssessment

string

RegulatoryComplianceAssessmentSnapshot

string

SecureScoreControls

string

SecureScoreControlsSnapshot

string

SecureScores

string

SecureScoresSnapshot

string

SubAssessments

string

SubAssessmentsSnapshot

string

Operator

Ein gültiger Vergleichsoperator, der verwendet werden soll. Für String PropertyType wird ein Vergleich ohne Beachtung der Groß-/Kleinschreibung angewendet.

Name Typ Beschreibung
Contains

string

Gilt nur für Nicht-Dezimalopernden
EndsWith

string

Gilt nur für Nicht-Dezimalopernden
Equals

string

Gilt für dezimale und nicht dezimale Operanden
GreaterThan

string

Gilt nur für Dezimalopernden
GreaterThanOrEqualTo

string

Gilt nur für Dezimalopernden
LesserThan

string

Gilt nur für Dezimalopernden
LesserThanOrEqualTo

string

Gilt nur für Dezimalopernden
NotEquals

string

Gilt für dezimale und nicht dezimale Operanden
StartsWith

string

Gilt nur für Nicht-Dezimalopernden

PropertyType

Der Datentyp der verglichenen Operanden (String, Integer, Gleitkommazahl oder ein boolescher Wert [true/false]]

Name Typ Beschreibung
Boolean

string

Integer

string

Number

string

String

string