Microsoft.SecurityInsights automationRules 2019-01-01-preview
- dernière
- 2024-10-01-preview
- 2024-09-01
- 2024-04-01-preview
- 2024-03-01
- 2024-01-01-preview
- 2023-12-01-preview
- 2023-11-01
- 2023-10-01-preview
- 2023-09-01-preview
- 2023-08-01-preview
- 2023-07-01-preview
- 2023-06-01-preview
- 2023-05-01-preview
- 2023-04-01-preview
- 2023-03-01-preview
- 2023-02-01
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2019-01-01-preview
Définition de ressource Bicep
Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.SecurityInsights/automationRules@2019-01-01-preview' = {
scope: resourceSymbolicName or scope
etag: 'string'
name: 'string'
properties: {
actions: [
{
order: int
actionType: 'string'
// For remaining properties, see AutomationRuleAction objects
}
]
displayName: 'string'
order: int
triggeringLogic: {
conditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc: 'string'
isEnabled: bool
triggersOn: 'string'
triggersWhen: 'string'
}
}
}
Objets AutomationRuleCondition
Définissez la propriété conditionType
Pour propriété, utilisez :
{
conditionProperties: {
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
conditionType: 'Property'
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour ModifyProperties, utilisez :
{
actionConfiguration: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
labels: [
{
labelName: 'string'
}
]
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
userPrincipalName: 'string'
}
severity: 'string'
status: 'string'
}
actionType: 'ModifyProperties'
}
Pour RunPlaybook, utilisez :
{
actionConfiguration: {
logicAppResourceId: 'string'
tenantId: 'string'
}
actionType: 'RunPlaybook'
}
Valeurs de propriété
AutomationRuleAction
| Nom | Description | Valeur |
|---|---|---|
| actionType | Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. | 'ModifyProperties' 'RunPlaybook' (obligatoire) |
| commande | Ordre d’exécution de l’action de règle d’automatisation | int (obligatoire) |
AutomationRuleCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionType | Affectez la valeur « Property » pour le type AutomationRulePropertyValuesCondition. | 'Property' (obligatoire) |
AutomationRuleModifyPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | Configuration de l’action de règle d’automatisation des propriétés de modification | AutomationRuleModifyPropertiesActionConfiguration (obligatoire) |
| actionType | Type de l’action de règle d’automatisation | 'ModifyProperties' (obligatoire) |
AutomationRuleModifyPropertiesActionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| classification | La raison pour laquelle l’incident a été fermé | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Indéterminé' |
| classificationComment | Décrit la raison pour laquelle l’incident a été fermé | corde |
| classificationReason | Raison de classification de fermer l’incident avec | 'IncorrectData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspectButExpected' |
| Étiquettes | Liste des étiquettes à ajouter à l’incident | IncidentLabel [] |
| propriétaire | Décrit un utilisateur auquel l’incident est affecté | incidentOwnerInfo |
| sévérité | Gravité de l’incident | 'High' 'Informational' 'Low' 'Medium' |
| statut | État de l’incident | 'Actif' 'Fermé' 'Nouveau' |
AutomationRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| Actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée | AutomationRuleAction[] (obligatoire) |
| displayName | Nom complet de la règle Automation | chaîne (obligatoire) |
| commande | Ordre d’exécution de la règle d’automatisation | int (obligatoire) |
| triggeringLogic | Logique de déclenchement de la règle d’automatisation | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRulePropertyValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | Configuration de la condition de règle Automation | AutomationRulePropertyValuesConditionProperties (obligatoire) |
| conditionType | Type de la condition de règle Automation | 'Property' (obligatoire) |
AutomationRulePropertyValuesConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| opérateur | Opérateur à utiliser pour l’évaluation de la condition | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
| propertyName | Propriété à évaluer | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentDescription' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | Valeurs à utiliser pour évaluer la condition | string[] |
AutomationRuleRunPlaybookAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | Configuration de l’action de règle d’automatisation du playbook d’exécution | AutomationRuleRunPlaybookActionConfiguration (obligatoire) |
| actionType | Type de l’action de règle d’automatisation | 'RunPlaybook' (obligatoire) |
AutomationRuleRunPlaybookActionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| logicAppResourceId | ID de ressource de la ressource playbook | corde |
| tenantId | ID de locataire de la ressource playbook | corde |
AutomationRuleTriggeringLogic
| Nom | Description | Valeur |
|---|---|---|
| conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné | AutomationRuleCondition[] |
| expirationTimeUtc | Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. | corde |
| isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
| triggersOn | Type d’objet sur lequel la règle d’automatisation se déclenche | « Incidents » (obligatoire) |
| triggersWhen | Type d’événement sur lequel la règle d’automatisation se déclenche | 'Created' (obligatoire) |
IncidentLabel
| Nom | Description | Valeur |
|---|---|---|
| labelName | Nom de l’étiquette | chaîne (obligatoire) |
IncidentOwnerInfo
| Nom | Description | Valeur |
|---|---|---|
| assignedTo | Nom de l’utilisateur auquel l’incident est affecté. | corde |
| Messagerie électronique | E-mail de l’utilisateur auquel l’incident est affecté. | corde |
| objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | corde |
Microsoft.SecurityInsights/automationRules
| Nom | Description | Valeur |
|---|---|---|
| etag | Etag de la ressource Azure | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| Propriétés | Propriétés de règle Automation | AutomationRuleProperties |
| portée | Utilisez-la lors de la création d’une ressource dans une étendue différente de l’étendue de déploiement. | Définissez cette propriété sur le nom symbolique d’une ressource pour appliquer la ressource d’extension . |
Définition de ressource de modèle ARM
Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.SecurityInsights/automationRules",
"apiVersion": "2019-01-01-preview",
"name": "string",
"etag": "string",
"properties": {
"actions": [ {
"order": "int",
"actionType": "string"
// For remaining properties, see AutomationRuleAction objects
} ],
"displayName": "string",
"order": "int",
"triggeringLogic": {
"conditions": [ {
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
} ],
"expirationTimeUtc": "string",
"isEnabled": "bool",
"triggersOn": "string",
"triggersWhen": "string"
}
}
}
Objets AutomationRuleCondition
Définissez la propriété conditionType
Pour propriété, utilisez :
{
"conditionProperties": {
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
},
"conditionType": "Property"
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour ModifyProperties, utilisez :
{
"actionConfiguration": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"labels": [
{
"labelName": "string"
}
],
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"userPrincipalName": "string"
},
"severity": "string",
"status": "string"
},
"actionType": "ModifyProperties"
}
Pour RunPlaybook, utilisez :
{
"actionConfiguration": {
"logicAppResourceId": "string",
"tenantId": "string"
},
"actionType": "RunPlaybook"
}
Valeurs de propriété
AutomationRuleAction
| Nom | Description | Valeur |
|---|---|---|
| actionType | Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. | 'ModifyProperties' 'RunPlaybook' (obligatoire) |
| commande | Ordre d’exécution de l’action de règle d’automatisation | int (obligatoire) |
AutomationRuleCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionType | Affectez la valeur « Property » pour le type AutomationRulePropertyValuesCondition. | 'Property' (obligatoire) |
AutomationRuleModifyPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | Configuration de l’action de règle d’automatisation des propriétés de modification | AutomationRuleModifyPropertiesActionConfiguration (obligatoire) |
| actionType | Type de l’action de règle d’automatisation | 'ModifyProperties' (obligatoire) |
AutomationRuleModifyPropertiesActionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| classification | La raison pour laquelle l’incident a été fermé | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Indéterminé' |
| classificationComment | Décrit la raison pour laquelle l’incident a été fermé | corde |
| classificationReason | Raison de classification de fermer l’incident avec | 'IncorrectData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspectButExpected' |
| Étiquettes | Liste des étiquettes à ajouter à l’incident | IncidentLabel [] |
| propriétaire | Décrit un utilisateur auquel l’incident est affecté | incidentOwnerInfo |
| sévérité | Gravité de l’incident | 'High' 'Informational' 'Low' 'Medium' |
| statut | État de l’incident | 'Actif' 'Fermé' 'Nouveau' |
AutomationRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| Actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée | AutomationRuleAction[] (obligatoire) |
| displayName | Nom complet de la règle Automation | chaîne (obligatoire) |
| commande | Ordre d’exécution de la règle d’automatisation | int (obligatoire) |
| triggeringLogic | Logique de déclenchement de la règle d’automatisation | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRulePropertyValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | Configuration de la condition de règle Automation | AutomationRulePropertyValuesConditionProperties (obligatoire) |
| conditionType | Type de la condition de règle Automation | 'Property' (obligatoire) |
AutomationRulePropertyValuesConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| opérateur | Opérateur à utiliser pour l’évaluation de la condition | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
| propertyName | Propriété à évaluer | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentDescription' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | Valeurs à utiliser pour évaluer la condition | string[] |
AutomationRuleRunPlaybookAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | Configuration de l’action de règle d’automatisation du playbook d’exécution | AutomationRuleRunPlaybookActionConfiguration (obligatoire) |
| actionType | Type de l’action de règle d’automatisation | 'RunPlaybook' (obligatoire) |
AutomationRuleRunPlaybookActionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| logicAppResourceId | ID de ressource de la ressource playbook | corde |
| tenantId | ID de locataire de la ressource playbook | corde |
AutomationRuleTriggeringLogic
| Nom | Description | Valeur |
|---|---|---|
| conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné | AutomationRuleCondition[] |
| expirationTimeUtc | Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. | corde |
| isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
| triggersOn | Type d’objet sur lequel la règle d’automatisation se déclenche | « Incidents » (obligatoire) |
| triggersWhen | Type d’événement sur lequel la règle d’automatisation se déclenche | 'Created' (obligatoire) |
IncidentLabel
| Nom | Description | Valeur |
|---|---|---|
| labelName | Nom de l’étiquette | chaîne (obligatoire) |
IncidentOwnerInfo
| Nom | Description | Valeur |
|---|---|---|
| assignedTo | Nom de l’utilisateur auquel l’incident est affecté. | corde |
| Messagerie électronique | E-mail de l’utilisateur auquel l’incident est affecté. | corde |
| objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | corde |
Microsoft.SecurityInsights/automationRules
| Nom | Description | Valeur |
|---|---|---|
| apiVersion | Version de l’API | '2019-01-01-preview' |
| etag | Etag de la ressource Azure | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| Propriétés | Propriétés de règle Automation | AutomationRuleProperties |
| type | Type de ressource | 'Microsoft.SecurityInsights/automationRules' |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
Crée une règle Microsoft Sentinel Automation
|
Cet exemple montre comment créer une règle d’automatisation dans Microsoft Sentinel |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/automationRules@2019-01-01-preview"
name = "string"
parent_id = "string"
etag = "string"
body = jsonencode({
properties = {
actions = [
{
order = int
actionType = "string"
// For remaining properties, see AutomationRuleAction objects
}
]
displayName = "string"
order = int
triggeringLogic = {
conditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc = "string"
isEnabled = bool
triggersOn = "string"
triggersWhen = "string"
}
}
})
}
Objets AutomationRuleCondition
Définissez la propriété conditionType
Pour propriété, utilisez :
{
conditionProperties = {
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
conditionType = "Property"
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour ModifyProperties, utilisez :
{
actionConfiguration = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
labels = [
{
labelName = "string"
}
]
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
userPrincipalName = "string"
}
severity = "string"
status = "string"
}
actionType = "ModifyProperties"
}
Pour RunPlaybook, utilisez :
{
actionConfiguration = {
logicAppResourceId = "string"
tenantId = "string"
}
actionType = "RunPlaybook"
}
Valeurs de propriété
AutomationRuleAction
| Nom | Description | Valeur |
|---|---|---|
| actionType | Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. | 'ModifyProperties' 'RunPlaybook' (obligatoire) |
| commande | Ordre d’exécution de l’action de règle d’automatisation | int (obligatoire) |
AutomationRuleCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionType | Affectez la valeur « Property » pour le type AutomationRulePropertyValuesCondition. | 'Property' (obligatoire) |
AutomationRuleModifyPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | Configuration de l’action de règle d’automatisation des propriétés de modification | AutomationRuleModifyPropertiesActionConfiguration (obligatoire) |
| actionType | Type de l’action de règle d’automatisation | 'ModifyProperties' (obligatoire) |
AutomationRuleModifyPropertiesActionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| classification | La raison pour laquelle l’incident a été fermé | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Indéterminé' |
| classificationComment | Décrit la raison pour laquelle l’incident a été fermé | corde |
| classificationReason | Raison de classification de fermer l’incident avec | 'IncorrectData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspectButExpected' |
| Étiquettes | Liste des étiquettes à ajouter à l’incident | IncidentLabel [] |
| propriétaire | Décrit un utilisateur auquel l’incident est affecté | incidentOwnerInfo |
| sévérité | Gravité de l’incident | 'High' 'Informational' 'Low' 'Medium' |
| statut | État de l’incident | 'Actif' 'Fermé' 'Nouveau' |
AutomationRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| Actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée | AutomationRuleAction[] (obligatoire) |
| displayName | Nom complet de la règle Automation | chaîne (obligatoire) |
| commande | Ordre d’exécution de la règle d’automatisation | int (obligatoire) |
| triggeringLogic | Logique de déclenchement de la règle d’automatisation | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRulePropertyValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | Configuration de la condition de règle Automation | AutomationRulePropertyValuesConditionProperties (obligatoire) |
| conditionType | Type de la condition de règle Automation | 'Property' (obligatoire) |
AutomationRulePropertyValuesConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| opérateur | Opérateur à utiliser pour l’évaluation de la condition | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
| propertyName | Propriété à évaluer | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentDescription' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | Valeurs à utiliser pour évaluer la condition | string[] |
AutomationRuleRunPlaybookAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | Configuration de l’action de règle d’automatisation du playbook d’exécution | AutomationRuleRunPlaybookActionConfiguration (obligatoire) |
| actionType | Type de l’action de règle d’automatisation | 'RunPlaybook' (obligatoire) |
AutomationRuleRunPlaybookActionConfiguration
| Nom | Description | Valeur |
|---|---|---|
| logicAppResourceId | ID de ressource de la ressource playbook | corde |
| tenantId | ID de locataire de la ressource playbook | corde |
AutomationRuleTriggeringLogic
| Nom | Description | Valeur |
|---|---|---|
| conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné | AutomationRuleCondition[] |
| expirationTimeUtc | Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. | corde |
| isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
| triggersOn | Type d’objet sur lequel la règle d’automatisation se déclenche | « Incidents » (obligatoire) |
| triggersWhen | Type d’événement sur lequel la règle d’automatisation se déclenche | 'Created' (obligatoire) |
IncidentLabel
| Nom | Description | Valeur |
|---|---|---|
| labelName | Nom de l’étiquette | chaîne (obligatoire) |
IncidentOwnerInfo
| Nom | Description | Valeur |
|---|---|---|
| assignedTo | Nom de l’utilisateur auquel l’incident est affecté. | corde |
| Messagerie électronique | E-mail de l’utilisateur auquel l’incident est affecté. | corde |
| objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | corde |
Microsoft.SecurityInsights/automationRules
| Nom | Description | Valeur |
|---|---|---|
| etag | Etag de la ressource Azure | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| parent_id | ID de la ressource à laquelle appliquer cette ressource d’extension. | chaîne (obligatoire) |
| Propriétés | Propriétés de règle Automation | AutomationRuleProperties |
| type | Type de ressource | « Microsoft.SecurityInsights/automationRules@2019-01-01-preview » |