Alert Rule Templates - List
Obtiene todas las plantillas de regla de alerta.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates?api-version=2024-03-01
Parámetros de identificador URI
Nombre | En | Requerido | Tipo | Description |
---|---|---|---|---|
resource
|
path | True |
string |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
subscription
|
path | True |
string |
Identificador de la suscripción de destino. |
workspace
|
path | True |
string |
El nombre del área de trabajo. Patrón de Regex: |
api-version
|
query | True |
string |
Versión de API que se usará para la operación. |
Respuestas
Nombre | Tipo | Description |
---|---|---|
200 OK |
Correcto, operación completada correctamente |
|
Other Status Codes |
Respuesta de error que describe el motivo del error de la operación. |
Seguridad
azure_auth
Flujo OAuth2 de Azure Active Directory
Tipo:
oauth2
Flujo:
implicit
Dirección URL de autorización:
https://login.microsoftonline.com/common/oauth2/authorize
Ámbitos
Nombre | Description |
---|---|
user_impersonation | suplantación de su cuenta de usuario |
Ejemplos
Get all alert rule templates.
Solicitud de ejemplo
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates?api-version=2024-03-01
Respuesta de muestra
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
"name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Scheduled",
"properties": {
"severity": "Low",
"query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
"queryFrequency": "P1D",
"queryPeriod": "P1D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"displayName": "Changes to Amazon VPC settings",
"description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
"tactics": [
"PrivilegeEscalation",
"LateralMovement"
],
"lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
"createdDateUTC": "2019-02-27T00:00:00Z",
"status": "Available",
"version": "1.0.1",
"requiredDataConnectors": [
{
"connectorId": "AWS",
"dataTypes": [
"AWSCloudTrail"
]
}
],
"alertRulesCreatedByTemplateCount": 0
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/f71aba3d-28fb-450b-b192-4e76a83015c8",
"name": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "Place holder: Fusion uses graph powered machine learning algorithms to correlate between millions of lower fidelity anomalous activities from different products such as Azure AD Identity Protection, and Microsoft Cloud App Security, to combine them into a manageable number of interesting security cases.\n",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"lastUpdatedDateUTC": "2021-03-27T10:00:00Z",
"createdDateUTC": "2019-07-25T00:00:00Z",
"status": "Available",
"severity": "High",
"alertRulesCreatedByTemplateCount": 0
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/b3cfc7c0-092c-481c-a55b-34a3979758cb",
"name": "b3cfc7c0-092c-481c-a55b-34a3979758cb",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"displayName": "Create incidents based on Microsoft Cloud App Security alerts",
"description": "Create incidents based on all alerts generated in Microsoft Cloud App Security",
"lastUpdatedDateUTC": "2021-05-27T10:00:00Z",
"createdDateUTC": "2019-07-16T00:00:00Z",
"status": "Available",
"alertRulesCreatedByTemplateCount": 0
}
}
]
}
Definiciones
Nombre | Description |
---|---|
Alert |
Configuración de cómo invalidar dinámicamente los detalles estáticos de alertas |
Alert |
La propiedad de alerta V3 |
Alert |
Asignación de propiedades de alerta única para invalidar |
Alert |
orígenes de datos de plantilla de regla de alertas |
Alert |
Enumera todas las plantillas de regla de alertas. |
Alert |
Gravedad de las alertas creadas por esta regla de alertas. |
Attack |
Gravedad de las alertas creadas por esta regla de alertas. |
Cloud |
Estructura de respuesta de error. |
Cloud |
Detalles del error. |
created |
Tipo de identidad que creó el recurso. |
Entity |
Asignación de entidad única para la regla de alertas |
Entity |
El tipo V3 de la entidad asignada |
Event |
Tipos de agregación de agrupación de eventos |
Event |
Contenedor de propiedades de configuración de agrupación de eventos. |
Field |
Asignación de un solo campo de la entidad asignada |
Fusion |
Representa la plantilla de regla de alertas de Fusion. |
Microsoft |
Representa la plantilla de regla MicrosoftSecurityIncidentCreation. |
Microsoft |
ProductName de las alertas en las que se generarán los casos |
Scheduled |
Representa la plantilla de regla de alerta programada. |
system |
Metadatos relacionados con la creación y la última modificación del recurso. |
Template |
Estado de la plantilla de la regla de alertas. |
Trigger |
Operación con respecto al umbral que desencadena la regla de alertas. |
AlertDetailsOverride
Configuración de cómo invalidar dinámicamente los detalles estáticos de alertas
Nombre | Tipo | Description |
---|---|---|
alertDescriptionFormat |
string |
el formato que contiene los nombres de las columnas para invalidar la descripción de la alerta. |
alertDisplayNameFormat |
string |
el formato que contiene los nombres de las columnas para invalidar el nombre de la alerta. |
alertDynamicProperties |
Lista de propiedades dinámicas adicionales que se van a invalidar |
|
alertSeverityColumnName |
string |
el nombre de columna del que se va a tomar la gravedad de la alerta. |
alertTacticsColumnName |
string |
el nombre de columna del que se van a tomar las tácticas de alerta |
AlertProperty
La propiedad de alerta V3
Nombre | Tipo | Description |
---|---|---|
AlertLink |
string |
Vínculo de la alerta |
ConfidenceLevel |
string |
Propiedad de nivel de confianza |
ConfidenceScore |
string |
Puntuación de confianza |
ExtendedLinks |
string |
Vínculos extendidos a la alerta |
ProductComponentName |
string |
Propiedad de alerta de nombre de componente de producto |
ProductName |
string |
Propiedad de alerta de nombre de producto |
ProviderName |
string |
Propiedad de alerta nombre de proveedor |
RemediationSteps |
string |
Propiedad de alerta pasos de corrección |
Techniques |
string |
Propiedad alert de técnicas |
AlertPropertyMapping
Asignación de propiedades de alerta única para invalidar
Nombre | Tipo | Description |
---|---|---|
alertProperty |
La propiedad de alerta V3 |
|
value |
string |
el nombre de columna que se va a usar para invalidar esta propiedad |
AlertRuleTemplateDataSource
orígenes de datos de plantilla de regla de alertas
Nombre | Tipo | Description |
---|---|---|
connectorId |
string |
Identificador del conector que proporciona los siguientes tipos de datos |
dataTypes |
string[] |
Tipos de datos usados por la plantilla de regla de alertas |
AlertRuleTemplatesList
Enumera todas las plantillas de regla de alertas.
Nombre | Tipo | Description |
---|---|---|
nextLink |
string |
Dirección URL para capturar el siguiente conjunto de plantillas de regla de alertas. |
value | AlertRuleTemplate[]: |
Matriz de plantillas de regla de alertas. |
AlertSeverity
Gravedad de las alertas creadas por esta regla de alertas.
Nombre | Tipo | Description |
---|---|---|
High |
string |
Gravedad alta |
Informational |
string |
Gravedad informativa |
Low |
string |
Low severity |
Medium |
string |
Gravedad media |
AttackTactic
Gravedad de las alertas creadas por esta regla de alertas.
Nombre | Tipo | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Estructura de respuesta de error.
Nombre | Tipo | Description |
---|---|---|
error |
Datos inválidos |
CloudErrorBody
Detalles del error.
Nombre | Tipo | Description |
---|---|---|
code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
message |
string |
Mensaje que describe el error, diseñado para ser adecuado para mostrarse en una interfaz de usuario. |
createdByType
Tipo de identidad que creó el recurso.
Nombre | Tipo | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
Asignación de entidad única para la regla de alertas
Nombre | Tipo | Description |
---|---|---|
entityType |
El tipo V3 de la entidad asignada |
|
fieldMappings |
matriz de asignaciones de campos para la asignación de entidades especificada |
EntityMappingType
El tipo V3 de la entidad asignada
Nombre | Tipo | Description |
---|---|---|
Account |
string |
Tipo de entidad de cuenta de usuario |
AzureResource |
string |
Tipo de entidad de recurso de Azure |
CloudApplication |
string |
Tipo de entidad de aplicación en la nube |
DNS |
string |
Tipo de entidad DNS |
File |
string |
Tipo de entidad de archivo del sistema |
FileHash |
string |
Tipo de entidad file-hash |
Host |
string |
Tipo de entidad host |
IP |
string |
Tipo de entidad de dirección IP |
MailCluster |
string |
Tipo de entidad de clúster de correo |
MailMessage |
string |
Tipo de entidad de mensaje de correo |
Mailbox |
string |
Tipo de entidad de buzón |
Malware |
string |
Tipo de entidad malware |
Process |
string |
Tipo de entidad de proceso |
RegistryKey |
string |
Tipo de entidad de clave del Registro |
RegistryValue |
string |
Tipo de entidad de valor del Registro |
SecurityGroup |
string |
Tipo de entidad de grupo de seguridad |
SubmissionMail |
string |
Tipo de entidad de correo de envío |
URL |
string |
Tipo de entidad URL |
EventGroupingAggregationKind
Tipos de agregación de agrupación de eventos
Nombre | Tipo | Description |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
Contenedor de propiedades de configuración de agrupación de eventos.
Nombre | Tipo | Description |
---|---|---|
aggregationKind |
Tipos de agregación de agrupación de eventos |
FieldMapping
Asignación de un solo campo de la entidad asignada
Nombre | Tipo | Description |
---|---|---|
columnName |
string |
el nombre de columna que se va a asignar al identificador |
identifier |
string |
el identificador V3 de la entidad |
FusionAlertRuleTemplate
Representa la plantilla de regla de alertas de Fusion.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
El tipo de regla de alerta |
name |
string |
Nombre del recurso. |
properties.alertRulesCreatedByTemplateCount |
integer |
el número de reglas de alerta creadas por esta plantilla |
properties.createdDateUTC |
string |
Hora a la que se ha agregado esta plantilla de regla de alertas. |
properties.description |
string |
Descripción de la plantilla de regla de alertas. |
properties.displayName |
string |
Nombre para mostrar de la plantilla de regla de alertas. |
properties.lastUpdatedDateUTC |
string |
Hora en que se actualizó por última vez esta plantilla de regla de alertas. |
properties.requiredDataConnectors |
Conectores de datos necesarios para esta plantilla |
|
properties.severity |
Gravedad de las alertas creadas por esta regla de alertas. |
|
properties.status |
Estado de la plantilla de la regla de alertas. |
|
properties.tactics |
Tácticas de la plantilla de regla de alertas |
|
properties.techniques |
string[] |
Las técnicas de la plantilla de regla de alertas |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityIncidentCreationAlertRuleTemplate
Representa la plantilla de regla MicrosoftSecurityIncidentCreation.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
El tipo de regla de alerta |
name |
string |
Nombre del recurso. |
properties.alertRulesCreatedByTemplateCount |
integer |
el número de reglas de alerta creadas por esta plantilla |
properties.createdDateUTC |
string |
Hora a la que se ha agregado esta plantilla de regla de alertas. |
properties.description |
string |
Descripción de la plantilla de regla de alertas. |
properties.displayName |
string |
Nombre para mostrar de la plantilla de regla de alertas. |
properties.displayNamesExcludeFilter |
string[] |
displayNames de las alertas en las que no se generarán los casos |
properties.displayNamesFilter |
string[] |
displayNames de las alertas en las que se generarán los casos |
properties.lastUpdatedDateUTC |
string |
Hora en que se actualizó por última vez esta plantilla de regla de alertas. |
properties.productFilter |
ProductName de las alertas en las que se generarán los casos |
|
properties.requiredDataConnectors |
Conectores de datos necesarios para esta plantilla |
|
properties.severitiesFilter |
gravedades de las alertas en las que se generarán los casos |
|
properties.status |
Estado de la plantilla de la regla de alertas. |
|
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
ProductName de las alertas en las que se generarán los casos
Nombre | Tipo | Description |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRuleTemplate
Representa la plantilla de regla de alerta programada.
Nombre | Tipo | Description |
---|---|---|
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
El tipo de regla de alerta |
name |
string |
Nombre del recurso. |
properties.alertDetailsOverride |
La configuración de invalidación de detalles de alerta |
|
properties.alertRulesCreatedByTemplateCount |
integer |
el número de reglas de alerta creadas por esta plantilla |
properties.createdDateUTC |
string |
Hora a la que se ha agregado esta plantilla de regla de alertas. |
properties.customDetails |
object |
Diccionario de pares clave-valor de cadena de columnas que se van a adjuntar a la alerta |
properties.description |
string |
Descripción de la plantilla de regla de alertas. |
properties.displayName |
string |
Nombre para mostrar de la plantilla de regla de alertas. |
properties.entityMappings |
Matriz de las asignaciones de entidades de la regla de alertas |
|
properties.eventGroupingSettings |
Configuración de agrupación de eventos. |
|
properties.lastUpdatedDateUTC |
string |
Hora en que se actualizó por última vez esta plantilla de regla de alertas. |
properties.query |
string |
Consulta que crea alertas para esta regla. |
properties.queryFrequency |
string |
Frecuencia (en formato de duración ISO 8601) para que se ejecute esta regla de alerta. |
properties.queryPeriod |
string |
Período (en formato de duración ISO 8601) que examina esta regla de alerta. |
properties.requiredDataConnectors |
Conectores de datos necesarios para esta plantilla |
|
properties.severity |
Gravedad de las alertas creadas por esta regla de alertas. |
|
properties.status |
Estado de la plantilla de la regla de alertas. |
|
properties.tactics |
Tácticas de la plantilla de regla de alertas |
|
properties.techniques |
string[] |
Las técnicas de la plantilla de regla de alertas |
properties.triggerOperator |
Operación con respecto al umbral que desencadena la regla de alertas. |
|
properties.triggerThreshold |
integer |
El umbral desencadena esta regla de alertas. |
properties.version |
string |
La versión de esta plantilla: en formato <a.b.c>, donde todos son números. Por ejemplo <, 1.0.2>. |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
systemData
Metadatos relacionados con la creación y la última modificación del recurso.
Nombre | Tipo | Description |
---|---|---|
createdAt |
string |
Marca de tiempo de creación de recursos (UTC). |
createdBy |
string |
Identidad que creó el recurso. |
createdByType |
Tipo de identidad que creó el recurso. |
|
lastModifiedAt |
string |
Marca de tiempo de la última modificación del recurso (UTC) |
lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |
TemplateStatus
Estado de la plantilla de la regla de alertas.
Nombre | Tipo | Description |
---|---|---|
Available |
string |
La plantilla de regla de alertas está disponible. |
Installed |
string |
Plantilla de regla de alerta instalada. y no pueden usar más después una vez |
NotAvailable |
string |
La plantilla de regla de alertas no está disponible |
TriggerOperator
Operación con respecto al umbral que desencadena la regla de alertas.
Nombre | Tipo | Description |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |