Compartir a través de


Alert Rule Templates - Get

Obtiene la plantilla de regla de alertas.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates/{alertRuleTemplateId}?api-version=2024-03-01

Parámetros de identificador URI

Nombre En Requerido Tipo Description
alertRuleTemplateId
path True

string

Identificador de plantilla de regla de alerta

resourceGroupName
path True

string

Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas.

subscriptionId
path True

string

Identificador de la suscripción de destino.

workspaceName
path True

string

El nombre del área de trabajo.

Patrón de Regex: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

Versión de API que se usará para la operación.

Respuestas

Nombre Tipo Description
200 OK AlertRuleTemplate:

Correcto, operación completada correctamente

Other Status Codes

CloudError

Respuesta de error que describe el motivo del error de la operación.

Seguridad

azure_auth

Flujo OAuth2 de Azure Active Directory

Tipo: oauth2
Flujo: implicit
Dirección URL de autorización: https://login.microsoftonline.com/common/oauth2/authorize

Ámbitos

Nombre Description
user_impersonation suplantación de su cuenta de usuario

Ejemplos

Get alert rule template by Id.

Solicitud de ejemplo

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa?api-version=2024-03-01

Respuesta de muestra

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
  "name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
  "type": "Microsoft.SecurityInsights/AlertRuleTemplates",
  "kind": "Scheduled",
  "properties": {
    "severity": "Low",
    "query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n    or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
    "queryFrequency": "P1D",
    "queryPeriod": "P1D",
    "triggerOperator": "GreaterThan",
    "triggerThreshold": 0,
    "displayName": "Changes to Amazon VPC settings",
    "description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
    "eventGroupingSettings": {
      "aggregationKind": "AlertPerResult"
    },
    "tactics": [
      "PrivilegeEscalation",
      "LateralMovement"
    ],
    "lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
    "createdDateUTC": "2019-02-27T00:00:00Z",
    "status": "Available",
    "version": "1.0.2",
    "requiredDataConnectors": [
      {
        "connectorId": "AWS",
        "dataTypes": [
          "AWSCloudTrail"
        ]
      }
    ],
    "entityMappings": [
      {
        "entityType": "Account",
        "fieldMappings": [
          {
            "identifier": "FullName",
            "columnName": "AccountCustomEntity"
          }
        ]
      },
      {
        "entityType": "IP",
        "fieldMappings": [
          {
            "identifier": "Address",
            "columnName": "IPCustomEntity"
          }
        ]
      }
    ],
    "customDetails": {
      "EventNames": "EventName",
      "EventTypes": "EventTypeName"
    },
    "alertDetailsOverride": {
      "alertDisplayNameFormat": "Alert on event {{EventName}}",
      "alertDescriptionFormat": "Suspicious activity was made by {{AccountCustomEntity}}",
      "alertTacticsColumnName": null,
      "alertSeverityColumnName": null
    },
    "alertRulesCreatedByTemplateCount": 0
  }
}

Definiciones

Nombre Description
AlertDetailsOverride

Configuración de cómo invalidar dinámicamente los detalles estáticos de alertas

AlertProperty

La propiedad de alerta V3

AlertPropertyMapping

Una única asignación de propiedades de alerta para invalidar

AlertRuleTemplateDataSource

Orígenes de datos de plantilla de regla de alertas

AlertSeverity

Gravedad de las alertas creadas por esta regla de alertas.

AttackTactic

Gravedad de las alertas creadas por esta regla de alertas.

CloudError

Estructura de respuesta de error.

CloudErrorBody

Detalles del error.

createdByType

Tipo de identidad que creó el recurso.

EntityMapping

Asignación de entidad única para la regla de alertas

EntityMappingType

El tipo V3 de la entidad asignada

EventGroupingAggregationKind

Tipos de agregación de agrupación de eventos

EventGroupingSettings

Contenedor de propiedades de configuración de agrupación de eventos.

FieldMapping

Asignación de un solo campo de la entidad asignada

FusionAlertRuleTemplate

Representa la plantilla de regla de alertas de Fusion.

MicrosoftSecurityIncidentCreationAlertRuleTemplate

Representa la plantilla de regla MicrosoftSecurityIncidentCreation.

MicrosoftSecurityProductName

ProductName de las alertas en las que se generarán los casos

ScheduledAlertRuleTemplate

Representa la plantilla de regla de alerta programada.

systemData

Metadatos relacionados con la creación y la última modificación del recurso.

TemplateStatus

Estado de la plantilla de regla de alerta.

TriggerOperator

Operación con respecto al umbral que desencadena la regla de alertas.

AlertDetailsOverride

Configuración de cómo invalidar dinámicamente los detalles estáticos de alertas

Nombre Tipo Description
alertDescriptionFormat

string

el formato que contiene los nombres de las columnas para invalidar la descripción de la alerta.

alertDisplayNameFormat

string

el formato que contiene los nombres de las columnas para invalidar el nombre de la alerta.

alertDynamicProperties

AlertPropertyMapping[]

Lista de propiedades dinámicas adicionales que se van a invalidar

alertSeverityColumnName

string

el nombre de columna del que se va a tomar la gravedad de la alerta

alertTacticsColumnName

string

el nombre de columna del que se van a tomar las tácticas de alerta

AlertProperty

La propiedad de alerta V3

Nombre Tipo Description
AlertLink

string

Vínculo de la alerta

ConfidenceLevel

string

Propiedad de nivel de confianza

ConfidenceScore

string

Puntuación de confianza

ExtendedLinks

string

Vínculos extendidos a la alerta

ProductComponentName

string

Propiedad de alerta de nombre de componente de producto

ProductName

string

Propiedad de alerta de nombre de producto

ProviderName

string

Propiedad de alerta de nombre de proveedor

RemediationSteps

string

Propiedad de alerta de pasos de corrección

Techniques

string

Propiedad alert de técnicas

AlertPropertyMapping

Una única asignación de propiedades de alerta para invalidar

Nombre Tipo Description
alertProperty

AlertProperty

La propiedad de alerta V3

value

string

el nombre de columna que se va a usar para invalidar esta propiedad

AlertRuleTemplateDataSource

Orígenes de datos de plantilla de regla de alertas

Nombre Tipo Description
connectorId

string

Identificador del conector que proporciona los siguientes tipos de datos

dataTypes

string[]

Los tipos de datos usados por la plantilla de regla de alertas

AlertSeverity

Gravedad de las alertas creadas por esta regla de alertas.

Nombre Tipo Description
High

string

Gravedad alta

Informational

string

Gravedad informativa

Low

string

Low severity

Medium

string

Gravedad media

AttackTactic

Gravedad de las alertas creadas por esta regla de alertas.

Nombre Tipo Description
Collection

string

CommandAndControl

string

CredentialAccess

string

DefenseEvasion

string

Discovery

string

Execution

string

Exfiltration

string

Impact

string

ImpairProcessControl

string

InhibitResponseFunction

string

InitialAccess

string

LateralMovement

string

Persistence

string

PreAttack

string

PrivilegeEscalation

string

Reconnaissance

string

ResourceDevelopment

string

CloudError

Estructura de respuesta de error.

Nombre Tipo Description
error

CloudErrorBody

Datos inválidos

CloudErrorBody

Detalles del error.

Nombre Tipo Description
code

string

Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación.

message

string

Mensaje que describe el error, diseñado para ser adecuado para su presentación en una interfaz de usuario.

createdByType

Tipo de identidad que creó el recurso.

Nombre Tipo Description
Application

string

Key

string

ManagedIdentity

string

User

string

EntityMapping

Asignación de entidad única para la regla de alertas

Nombre Tipo Description
entityType

EntityMappingType

El tipo V3 de la entidad asignada

fieldMappings

FieldMapping[]

matriz de asignaciones de campos para la asignación de entidades especificada

EntityMappingType

El tipo V3 de la entidad asignada

Nombre Tipo Description
Account

string

Tipo de entidad de cuenta de usuario

AzureResource

string

Tipo de entidad de recurso de Azure

CloudApplication

string

Tipo de entidad de aplicación en la nube

DNS

string

Tipo de entidad DNS

File

string

Tipo de entidad de archivo del sistema

FileHash

string

Tipo de entidad file-hash

Host

string

Tipo de entidad host

IP

string

Tipo de entidad de dirección IP

MailCluster

string

Tipo de entidad de clúster de correo

MailMessage

string

Tipo de entidad de mensaje de correo

Mailbox

string

Tipo de entidad mailbox

Malware

string

Tipo de entidad malware

Process

string

Tipo de entidad de proceso

RegistryKey

string

Tipo de entidad de clave del Registro

RegistryValue

string

Tipo de entidad de valor del Registro

SecurityGroup

string

Tipo de entidad de grupo de seguridad

SubmissionMail

string

Tipo de entidad de correo de envío

URL

string

Tipo de entidad de dirección URL

EventGroupingAggregationKind

Tipos de agregación de agrupación de eventos

Nombre Tipo Description
AlertPerResult

string

SingleAlert

string

EventGroupingSettings

Contenedor de propiedades de configuración de agrupación de eventos.

Nombre Tipo Description
aggregationKind

EventGroupingAggregationKind

Tipos de agregación de agrupación de eventos

FieldMapping

Asignación de un solo campo de la entidad asignada

Nombre Tipo Description
columnName

string

el nombre de columna que se va a asignar al identificador

identifier

string

el identificador V3 de la entidad

FusionAlertRuleTemplate

Representa la plantilla de regla de alertas de Fusion.

Nombre Tipo Description
id

string

Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Fusion

El tipo de regla de alerta

name

string

Nombre del recurso.

properties.alertRulesCreatedByTemplateCount

integer

el número de reglas de alerta creadas por esta plantilla

properties.createdDateUTC

string

Hora a la que se ha agregado esta plantilla de regla de alerta.

properties.description

string

Descripción de la plantilla de regla de alertas.

properties.displayName

string

Nombre para mostrar de la plantilla de regla de alertas.

properties.lastUpdatedDateUTC

string

Hora en que esta plantilla de regla de alertas se actualizó por última vez.

properties.requiredDataConnectors

AlertRuleTemplateDataSource[]

Los conectores de datos necesarios para esta plantilla

properties.severity

AlertSeverity

Gravedad de las alertas creadas por esta regla de alertas.

properties.status

TemplateStatus

Estado de la plantilla de regla de alerta.

properties.tactics

AttackTactic[]

Tácticas de la plantilla de regla de alertas

properties.techniques

string[]

Las técnicas de la plantilla de regla de alertas

systemData

systemData

Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy.

type

string

Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts"

MicrosoftSecurityIncidentCreationAlertRuleTemplate

Representa la plantilla de regla MicrosoftSecurityIncidentCreation.

Nombre Tipo Description
id

string

Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

MicrosoftSecurityIncidentCreation

El tipo de regla de alerta

name

string

Nombre del recurso.

properties.alertRulesCreatedByTemplateCount

integer

el número de reglas de alerta creadas por esta plantilla

properties.createdDateUTC

string

Hora a la que se ha agregado esta plantilla de regla de alerta.

properties.description

string

Descripción de la plantilla de regla de alertas.

properties.displayName

string

Nombre para mostrar de la plantilla de regla de alertas.

properties.displayNamesExcludeFilter

string[]

displayNames de las alertas en las que no se generarán los casos

properties.displayNamesFilter

string[]

displayNames de las alertas en las que se generarán los casos

properties.lastUpdatedDateUTC

string

Hora en que esta plantilla de regla de alertas se actualizó por última vez.

properties.productFilter

MicrosoftSecurityProductName

ProductName de las alertas en las que se generarán los casos

properties.requiredDataConnectors

AlertRuleTemplateDataSource[]

Los conectores de datos necesarios para esta plantilla

properties.severitiesFilter

AlertSeverity[]

gravedades de las alertas en las que se generarán los casos

properties.status

TemplateStatus

Estado de la plantilla de regla de alerta.

systemData

systemData

Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy.

type

string

Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts"

MicrosoftSecurityProductName

ProductName de las alertas en las que se generarán los casos

Nombre Tipo Description
Azure Active Directory Identity Protection

string

Azure Advanced Threat Protection

string

Azure Security Center

string

Azure Security Center for IoT

string

Microsoft Cloud App Security

string

ScheduledAlertRuleTemplate

Representa la plantilla de regla de alerta programada.

Nombre Tipo Description
id

string

Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Scheduled

El tipo de regla de alerta

name

string

Nombre del recurso.

properties.alertDetailsOverride

AlertDetailsOverride

La configuración de invalidación de detalles de la alerta

properties.alertRulesCreatedByTemplateCount

integer

el número de reglas de alerta creadas por esta plantilla

properties.createdDateUTC

string

Hora a la que se ha agregado esta plantilla de regla de alerta.

properties.customDetails

object

Diccionario de pares clave-valor de cadena de columnas que se van a adjuntar a la alerta

properties.description

string

Descripción de la plantilla de regla de alertas.

properties.displayName

string

Nombre para mostrar de la plantilla de regla de alertas.

properties.entityMappings

EntityMapping[]

Matriz de las asignaciones de entidades de la regla de alerta

properties.eventGroupingSettings

EventGroupingSettings

Configuración de agrupación de eventos.

properties.lastUpdatedDateUTC

string

Hora en que esta plantilla de regla de alertas se actualizó por última vez.

properties.query

string

Consulta que crea alertas para esta regla.

properties.queryFrequency

string

Frecuencia (en formato de duración ISO 8601) para que se ejecute esta regla de alerta.

properties.queryPeriod

string

El período (en formato de duración ISO 8601) que examina esta regla de alerta.

properties.requiredDataConnectors

AlertRuleTemplateDataSource[]

Los conectores de datos necesarios para esta plantilla

properties.severity

AlertSeverity

Gravedad de las alertas creadas por esta regla de alertas.

properties.status

TemplateStatus

Estado de la plantilla de regla de alerta.

properties.tactics

AttackTactic[]

Tácticas de la plantilla de regla de alertas

properties.techniques

string[]

Las técnicas de la plantilla de regla de alertas

properties.triggerOperator

TriggerOperator

Operación con respecto al umbral que desencadena la regla de alertas.

properties.triggerThreshold

integer

El umbral desencadena esta regla de alerta.

properties.version

string

La versión de esta plantilla: en formato <a.b.c>, donde todos son números. Por ejemplo <, 1.0.2>.

systemData

systemData

Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy.

type

string

Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts"

systemData

Metadatos relacionados con la creación y la última modificación del recurso.

Nombre Tipo Description
createdAt

string

Marca de tiempo de creación de recursos (UTC).

createdBy

string

Identidad que creó el recurso.

createdByType

createdByType

Tipo de identidad que creó el recurso.

lastModifiedAt

string

Marca de tiempo de la última modificación del recurso (UTC)

lastModifiedBy

string

Identidad que modificó por última vez el recurso.

lastModifiedByType

createdByType

Tipo de identidad que modificó por última vez el recurso.

TemplateStatus

Estado de la plantilla de regla de alerta.

Nombre Tipo Description
Available

string

La plantilla de regla de alertas está disponible.

Installed

string

Plantilla de regla de alerta instalada. y no pueden usar más después una vez

NotAvailable

string

La plantilla de regla de alertas no está disponible

TriggerOperator

Operación con respecto al umbral que desencadena la regla de alertas.

Nombre Tipo Description
Equal

string

GreaterThan

string

LessThan

string

NotEqual

string