Alerte Microsoft.SecurityInsightSRules 2020-01-01
- La plus récente
- 2023-02-01-preview
- 2022-12-01-preview
- 01-11-2022
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2021-03-01-preview
- 2020-01-01
- 2019-01-01-preview
Définition de ressource Bicep
Le type de ressource alertRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la scope propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans Bicep.
Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.SecurityInsights/alertRules, ajoutez le Bicep suivant à votre modèle.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2020-01-01' = {
name: 'string'
kind: 'string'
scope: resourceSymbolicName
etag: 'string'
// For remaining properties, see alertRules objects
}
objets alertRules
Définissez la propriété kind pour spécifier le type d’objet.
Pour Fusion, utilisez :
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Pour MicrosoftSecurityIncidentCreation, utilisez :
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
Pour Planifié, utilisez :
kind: 'Scheduled'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
enabled: bool
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
triggerOperator: 'string'
triggerThreshold: int
}
Valeurs de propriétés
alertRules
| Nom | Description | Valeur |
|---|---|---|
| name | Nom de la ressource | string (obligatoire) |
| kind | Définir le type d’objet | Fusion MicrosoftSecurityIncidentCreation Planifié (obligatoire) |
| scope | Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue de déploiement. | Ressource cible Pour Bicep, définissez cette propriété sur le nom symbolique de la ressource pour appliquer la ressource d’extension. |
| etag | Etag de la ressource Azure | string |
FusionAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | 'Fusion' (obligatoire) |
| properties | Propriétés de la règle d’alerte Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | string (obligatoire) |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
MicrosoftSecurityIncidentCreationAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | 'MicrosoftSecurityIncidentCreation' (obligatoire) |
| properties | Propriétés de la règle MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | string |
| description | Description de la règle d’alerte. | string |
| displayName | Nom complet des alertes créées par cette règle d’alerte. | string (obligatoire) |
| displayNamesExcludeFilter | displayNames des alertes sur lesquels les cas ne seront pas générés | string[] |
| displayNamesFilter | displayNames des alertes sur lesquels les cas seront générés | string[] |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| productFilter | ProductName des alertes sur laquelle les cas seront générés | « Azure Active Directory Identity Protection » « Azure Advanced Threat Protection » « Azure Security Center pour IoT » 'Azure Security Center' « Microsoft Sécurité des applications infonuagiques » (obligatoire) |
| severitiesFilter | gravités des alertes sur lesquelles les cas seront générés | Tableau de chaînes contenant l’un des éléments suivants : 'High' 'Informational' 'Low' 'Medium' |
ScheduledAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | 'Scheduled' (obligatoire) |
| properties | Propriétés de la règle d’alerte planifiée | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | string |
| description | Description de la règle d’alerte. | string |
| displayName | Nom complet des alertes créées par cette règle d’alerte. | string (obligatoire) |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| query | Requête qui crée des alertes pour cette règle. | string |
| queryFrequency | Fréquence (au format de durée ISO 8601) pour l’exécution de cette règle d’alerte. | string |
| queryPeriod | Période (au format de durée ISO 8601) que cette règle d’alerte examine. | string |
| severity | Gravité des alertes créées par cette règle d’alerte. | 'High' 'Informational' 'Low' 'Medium' |
| suppressionDuration | Suppression (au format de durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. | string (obligatoire) |
| suppressionEnabled | Détermine si la suppression de cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| Tactiques | Tactiques de la règle d’alerte | Tableau de chaînes contenant l’un des éléments suivants : 'Collection' 'CommandAndControl' 'CredentialAccess' 'DefenseEvasion' 'Discovery' 'Execution' 'Exfiltration' 'Impact' 'InitialAccess' 'LateralMovement' 'Persistance' 'PrivilegeEscalation' |
| triggerOperator | Opération par rapport au seuil qui déclenche la règle d’alerte. | 'Equal' 'GreaterThan' 'LessThan' 'NotEqual' |
| triggerThreshold | Le seuil déclenche cette règle d’alerte. | int |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
Crée une règle d’analytique planifiée Microsoft Sentinel |
Cet exemple montre comment créer une règle d’analytique planifiée dans Microsoft Sentinel |
Définition de ressources de modèle ARM
Le type de ressource alertRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la scope propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans les modèles ARM.
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.SecurityInsights/alertRules, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.SecurityInsights/alertRules",
"apiVersion": "2020-01-01",
"name": "string",
"kind": "string",
"scope": "string",
"etag": "string",
// For remaining properties, see alertRules objects
}
objets alertRules
Définissez la propriété kind pour spécifier le type d’objet.
Pour Fusion, utilisez :
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Pour MicrosoftSecurityIncidentCreation, utilisez :
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
Pour Planifié, utilisez :
"kind": "Scheduled",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"enabled": "bool",
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"triggerOperator": "string",
"triggerThreshold": "int"
}
Valeurs de propriétés
alertRules
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | « Microsoft.SecurityInsights/alertRules » |
| apiVersion | Version de l’API de ressource | '2020-01-01' |
| name | Nom de la ressource | chaîne (obligatoire) |
| kind | Définir le type d’objet | Fusion MicrosoftSecurityIncidentCreation Planifié (obligatoire) |
| scope | Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue du déploiement. | Ressource cible Pour JSON, définissez la valeur sur le nom complet de la ressource à laquelle appliquer la ressource d’extension . |
| etag | Etag de la ressource Azure | string |
FusionAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | 'Fusion' (obligatoire) |
| properties | Propriétés de la règle d’alerte Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | chaîne (obligatoire) |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
MicrosoftSecurityIncidentCreationAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | 'MicrosoftSecurityIncidentCreation' (obligatoire) |
| properties | Propriétés de règle MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | string |
| description | Description de la règle d’alerte. | string |
| displayName | Nom d’affichage des alertes créées par cette règle d’alerte. | chaîne (obligatoire) |
| displayNamesExcludeFilter | les displayNames des alertes sur lesquels les cas ne seront pas générés | string[] |
| displayNamesFilter | les displayNames des alertes sur lesquels les cas seront générés | string[] |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| productFilter | ProductName des alertes sur lequel les cas seront générés | « Azure Active Directory Identity Protection » « Azure Advanced Threat Protection » « Azure Security Center pour IoT » 'Azure Security Center' « Microsoft Sécurité des applications infonuagiques » (obligatoire) |
| gravitésFiltre | les gravités des alertes sur lesquelles les cas seront générés | Tableau de chaînes contenant l’un des éléments suivants : 'High' 'Informational' 'Low' 'Medium' |
ScheduledAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | 'Scheduled' (obligatoire) |
| properties | Propriétés de la règle d’alerte planifiée | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | string |
| description | Description de la règle d’alerte. | string |
| displayName | Nom complet des alertes créées par cette règle d’alerte. | string (obligatoire) |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| query | Requête qui crée des alertes pour cette règle. | string |
| queryFrequency | Fréquence (au format de durée ISO 8601) pour l’exécution de cette règle d’alerte. | string |
| queryPeriod | Période (au format de durée ISO 8601) que cette règle d’alerte examine. | string |
| severity | Gravité des alertes créées par cette règle d’alerte. | 'High' 'Informational' 'Low' 'Medium' |
| suppressionDuration | Suppression (au format de durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. | string (obligatoire) |
| suppressionEnabled | Détermine si la suppression de cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| Tactiques | Tactiques de la règle d’alerte | Tableau de chaînes contenant l’un des éléments suivants : 'Collection' 'CommandAndControl' 'CredentialAccess' 'DefenseEvasion' 'Discovery' 'Execution' 'Exfiltration' 'Impact' 'InitialAccess' 'LateralMovement' 'Persistance' 'PrivilegeEscalation' |
| triggerOperator | Opération par rapport au seuil qui déclenche la règle d’alerte. | 'Equal' 'GreaterThan' 'LessThan' 'NotEqual' |
| triggerThreshold | Le seuil déclenche cette règle d’alerte. | int |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
| Crée une règle d’analytique planifiée Microsoft Sentinel |
Cet exemple montre comment créer une règle d’analytique planifiée dans Microsoft Sentinel |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource alertRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la parent_id propriété sur cette ressource pour définir l’étendue de cette ressource.
Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.SecurityInsights/alertRules, ajoutez le Terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/alertRules@2020-01-01"
name = "string"
parent_id = "string"
// For remaining properties, see alertRules objects
body = jsonencode({
kind = "string"
etag = "string"
})
}
objets alertRules
Définissez la propriété kind pour spécifier le type d’objet.
Pour Fusion, utilisez :
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Pour MicrosoftSecurityIncidentCreation, utilisez :
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
Pour Planifié, utilisez :
kind = "Scheduled"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
enabled = bool
query = "string"
queryFrequency = "string"
queryPeriod = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
triggerOperator = "string"
triggerThreshold = int
}
Valeurs de propriétés
alertRules
| Nom | Description | Valeur |
|---|---|---|
| type | Type de ressource | « Microsoft.SecurityInsights/alertRules@2020-01-01 » |
| name | Nom de la ressource | string (obligatoire) |
| parent_id | ID de la ressource à laquelle appliquer cette ressource d’extension. | string (obligatoire) |
| kind | Définir le type d’objet | Fusion MicrosoftSecurityIncidentCreation Planifié (obligatoire) |
| etag | Etag de la ressource Azure | string |
FusionAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | « Fusion » (obligatoire) |
| properties | Propriétés de la règle d’alerte Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | string (obligatoire) |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
MicrosoftSecurityIncidentCreationAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | « MicrosoftSecurityIncidentCreation » (obligatoire) |
| properties | Propriétés de la règle MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | string |
| description | Description de la règle d’alerte. | string |
| displayName | Nom complet des alertes créées par cette règle d’alerte. | string (obligatoire) |
| displayNamesExcludeFilter | displayNames des alertes sur lesquels les cas ne seront pas générés | string[] |
| displayNamesFilter | displayNames des alertes sur lesquels les cas seront générés | string[] |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| productFilter | ProductName des alertes sur laquelle les cas seront générés | « Azure Active Directory Identity Protection » « Azure Advanced Threat Protection » « Azure Security Center pour IoT » « Azure Security Center » « Microsoft Sécurité des applications infonuagiques » (obligatoire) |
| severitiesFilter | gravités des alertes sur lesquelles les cas seront générés | Tableau de chaînes contenant l’un des éléments suivants : "High" « Informationnel » "Low" « Moyen » |
ScheduledAlertRule
| Nom | Description | Valeur |
|---|---|---|
| kind | Type de règle d’alerte | « Planifié » (obligatoire) |
| properties | Propriétés de la règle d’alerte planifiée | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| alertRuleTemplateName | Nom du modèle de règle d’alerte utilisé pour créer cette règle. | string |
| description | Description de la règle d’alerte. | string |
| displayName | Nom complet des alertes créées par cette règle d’alerte. | string (obligatoire) |
| enabled | Détermine si cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| query | Requête qui crée des alertes pour cette règle. | string |
| queryFrequency | Fréquence (au format de durée ISO 8601) pour l’exécution de cette règle d’alerte. | string |
| queryPeriod | Période (au format de durée ISO 8601) que cette règle d’alerte examine. | string |
| severity | Gravité des alertes créées par cette règle d’alerte. | "High" « Informationnel » "Low" « Moyen » |
| suppressionDuration | Suppression (au format de durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. | string (obligatoire) |
| suppressionEnabled | Détermine si la suppression de cette règle d’alerte est activée ou désactivée. | bool (obligatoire) |
| Tactiques | Tactiques de la règle d’alerte | Tableau de chaînes contenant l’un des éléments suivants : « Collection » « CommandAndControl » « CredentialAccess » « DefenseEvasion » « Découverte » « Exécution » « Exfiltration » « Impact » « InitialAccess » « LateralMovement » « Persistance » « PrivilegeEscalation » |
| triggerOperator | Opération par rapport au seuil qui déclenche la règle d’alerte. | « Égal » « GreaterThan » « LessThan » « NotEqual » |
| triggerThreshold | Le seuil déclenche cette règle d’alerte. | int |