Microsoft.SecurityInsights automationRules 2023-07-01-preview

• La plus récente
• 2025-06-01
• 2025-04-01-preview
• 2025-03-01
• 2025-01-01-avant-première
• 2024-10-01-preview
• 2024-09-01
• 2024-04-01-preview
• 2024-03-01
• 2024-01-01-avant-première
• 2023-12-01-preview
• 2023-11-01
• 2023-10-01-preview
• 2023-09-01-preview
• 2023-08-01-preview
• 2023-07-01-preview
• 2023-06-01-preview
• 2023-05-01-preview
• 2023-04-01-preview
• 2023-03-01-preview
• 2023-02-01
• 2023-02-01-preview
• 2022-12-01-preview
• 2022-11-01
• 2022-11-01-preview
• 2022-10-01-preview
• 2022-09-01-preview
• 2022-08-01
• 2022-08-01-preview
• 2022-07-01-preview
• 2022-06-01-preview
• 2022-05-01-preview
• 2022-04-01-preview
• 2022-01-01-preview
• 2021-10-01
• 2021-10-01-preview
• 2021-09-01-preview
• 2019-01-01-preview

Définition de ressource Bicep

Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le bicep suivant à votre modèle.

resource symbolicname 'Microsoft.SecurityInsights/automationRules@2023-07-01-preview' = {
  scope: resourceSymbolicName or scope
  etag: 'string'
  name: 'string'
  properties: {
    actions: [
      {
        order: int
        actionType: 'string'
        // For remaining properties, see AutomationRuleAction objects
      }
    ]
    displayName: 'string'
    order: int
    triggeringLogic: {
      conditions: [
        {
          conditionType: 'string'
          // For remaining properties, see AutomationRuleCondition objects
        }
      ]
      expirationTimeUtc: 'string'
      isEnabled: bool
      triggersOn: 'string'
      triggersWhen: 'string'
    }
  }
}

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour booléen, utilisez :

{
  conditionProperties: {
    innerConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator: 'string'
  }
  conditionType: 'Boolean'
}

Pour propriété, utilisez :

{
  conditionProperties: {
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }
  conditionType: 'Property'
}

Pour PropertyArray, utilisez :

{
  conditionProperties: {
    arrayConditionType: 'string'
    arrayType: 'string'
    itemConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }
  conditionType: 'PropertyArray'
}

Pour PropertyArrayChanged, utilisez :

{
  conditionProperties: {
    arrayType: 'string'
    changeType: 'string'
  }
  conditionType: 'PropertyArrayChanged'
}

Pour PropertyChanged, utilisez :

{
  conditionProperties: {
    changeType: 'string'
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }
  conditionType: 'PropertyChanged'
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour addIncidentTask, utilisez :

{
  actionConfiguration: {
    description: 'string'
    title: 'string'
  }
  actionType: 'AddIncidentTask'
}

Pour ModifyProperties, utilisez :

{
  actionConfiguration: {
    classification: 'string'
    classificationComment: 'string'
    classificationReason: 'string'
    labels: [
      {
        labelName: 'string'
      }
    ]
    owner: {
      assignedTo: 'string'
      email: 'string'
      objectId: 'string'
      ownerType: 'string'
      userPrincipalName: 'string'
    }
    severity: 'string'
    status: 'string'
  }
  actionType: 'ModifyProperties'
}

Pour RunPlaybook, utilisez :

{
  actionConfiguration: {
    logicAppResourceId: 'string'
    tenantId: 'string'
  }
  actionType: 'RunPlaybook'
}

Valeurs de la propriété

Microsoft.SecurityInsights/automatisationRègles

Nom	Descriptif	Valeur
etag	Etag de la ressource Azure	ficelle
nom	Nom de la ressource	chaîne (obligatoire)
Propriétés	Propriétés de règle Automation	AutomationRuleProperties (obligatoire)
portée	Utilisez-la lors de la création d’une ressource dans une étendue différente de l’étendue de déploiement.	Définissez cette propriété sur le nom symbolique d’une ressource pour appliquer la ressource d’extension .

AddIncidentTaskActionProperties

Nom	Descriptif	Valeur
descriptif	Description de la tâche.	ficelle
titre	Titre de la tâche.	chaîne (obligatoire)

AutomatisationRègleAction

Nom	Descriptif	Valeur
type d'action	Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction.	'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obligatoire)
commande		int (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom	Descriptif	Valeur
actionConfiguration		AddIncidentTaskActionProperties
type d'action	Type de l’action de règle Automation.	'AddIncidentTask' (obligatoire)

AutomationRuleBooleanCondition

Nom	Descriptif	Valeur
intérieurConditions		AutomationRuleCondition[]
opérateur		« Et » « Ou »

AutomationRuleCondition

Nom	Descriptif	Valeur
conditionType	Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties.	'Booléen' 'Propriété' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obligatoire)

AutomationRuleModifyPropertiesAction

Nom	Descriptif	Valeur
actionConfiguration		incidentPropertiesAction
type d'action	Type de l’action de règle Automation.	'ModifyProperties' (obligatoire)

AutomationRuleProperties

Nom	Descriptif	Valeur
Actions	Actions à exécuter lorsque la règle d’automatisation est déclenchée.	AutomationRuleAction[] (obligatoire)
nom d’affichage	Nom complet de la règle Automation.	chaîne Contraintes: Longueur maximale = 500 (obligatoire)
commande	Ordre d’exécution de la règle d’automatisation.	Int Contraintes: Valeur minimale = 1 Valeur maximale = 1 000 (obligatoire)
triggeringLogic	Décrit la logique de déclenchement de règle d’automatisation.	AutomationRuleTriggeringLogic (obligatoire)

AutomationRulePropertyArrayChangedValuesCondition

Nom	Descriptif	Valeur
typede tableau		'Alertes' 'Commentaires' 'Étiquettes' « Tactique »
changeType		'Ajouté'

AutomationRulePropertyArrayValuesCondition

Nom	Descriptif	Valeur
arrayConditionType		'N’importe quel élément'
typede tableau		'Détails personnalisés' 'Valeurs CustomDetail'
itemConditions		AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Nom	Descriptif	Valeur
changeType		'Changé de' 'Changé pour'
opérateur		'Contient' 'Se termine par' « Égaux » 'Ne contient pas' 'NotEndsWith' 'Pas égal' 'Ne commence pas par' 'Commence par'
nom de propriété		'IncidentOwner' 'Gravité de l’incident' 'IncidentStatus'
propertyValeurs		chaîne[]

AutomationRulePropertyValuesCondition

Nom	Descriptif	Valeur
opérateur		'Contient' 'Se termine par' « Égaux » 'Ne contient pas' 'NotEndsWith' 'Pas égal' 'Ne commence pas par' 'Commence par'
nom de propriété	Propriété à évaluer dans une condition de propriété de règle Automation.	'AccountAadTenantId' 'AccountAadUserId' 'Nom du compte' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' « AzureResourceResourceId » « AzureResourceSubscriptionId » 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'Nom de fichier' 'HostAzureID' 'Nom d’hôte' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'Gravité de l’incident' 'IncidentStatus' 'IncidentTactics' 'Titre de l’incident' 'IncidentUpdatedBySource' 'IoTDeviceId' 'Modèle IoTDevice' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'Boîte aux lettresUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'Catégorie Malware' 'Nom du logiciel malveillant' 'ProcessCommandLine' 'ProcessId' 'Clé de registre' 'RegistryValueData' 'Url'
propertyValeurs		chaîne[]

AutomationRuleRunPlaybookAction

Nom	Descriptif	Valeur
actionConfiguration		PlaybookActionProperties
type d'action	Type de l’action de règle Automation.	'RunPlaybook' (obligatoire)

AutomationRuleTriggeringLogic

Nom	Descriptif	Valeur
conditions	Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné.	AutomationRuleCondition[]
expirationTimeUtc	Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement.	ficelle
isEnabled	Détermine si la règle d’automatisation est activée ou désactivée.	bool (obligatoire)
déclencheursSur		'Alertes' « Incidents » (obligatoire)
triggersQuand		'Créé' 'Mise à jour' (obligatoire)

BooleanConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRuleBooleanCondition
conditionType		'Boolean' (obligatoire)

IncidentLabel

Nom	Descriptif	Valeur
labelName	Nom de l’étiquette	chaîne (obligatoire)

IncidentOwnerInfo

Nom	Descriptif	Valeur
assignéÀ	Nom de l’utilisateur auquel l’incident est affecté.	ficelle
Messagerie électronique	E-mail de l’utilisateur auquel l’incident est affecté.	ficelle
objectId	ID d’objet de l’utilisateur auquel l’incident est affecté.	chaîne Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType	Type du propriétaire auquel l’incident est affecté.	'Groupe' 'Inconnu' 'Utilisateur'
Nom d'utilisateur principal	Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté.	ficelle

IncidentPropertiesAction

Nom	Descriptif	Valeur
classification	La raison pour laquelle l’incident a été fermé	'BienveillantPositif' 'FauxPositif' « VraiPositif » 'Indéterminé'
classificationCommentaire	Décrit la raison pour laquelle l’incident a été fermé.	ficelle
classificationRaison	La raison de classification avec laquelle l’incident a été fermé	'IncorrectData' 'IncorrectAlertLogic' 'Activité suspecte' 'SuspectButExpected'
Étiquettes	Liste des étiquettes à ajouter à l’incident.	IncidentLabel []
propriétaire	Informations sur l’utilisateur auquel un incident est affecté	incidentOwnerInfo
gravité	Gravité de l’incident	« Élevé » « Informatif » 'Faible' 'Moyen'
statut	État de l’incident	'Actif' 'Fermé' 'Nouveau'

PlaybookActionProperties

Nom	Descriptif	Valeur
logicAppResourceId	ID de ressource de la ressource playbook.	chaîne (obligatoire)
ID de locataire	ID de locataire de la ressource playbook.	chaîne Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyArrayChangedValuesCondition
conditionType		'PropertyArrayChanged' (obligatoire)

PropertyArrayConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyArrayValuesCondition
conditionType		'PropertyArray' (obligatoire)

PropertyChangedConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyValuesChangedCondition
conditionType		'PropertyChanged' (obligatoire)

PropertyConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyValuesCondition
conditionType		'Property' (obligatoire)

Définition de ressource de modèle ARM

Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le code JSON suivant à votre modèle.

{
  "type": "Microsoft.SecurityInsights/automationRules",
  "apiVersion": "2023-07-01-preview",
  "name": "string",
  "etag": "string",
  "properties": {
    "actions": [ {
      "order": "int",
      "actionType": "string"
      // For remaining properties, see AutomationRuleAction objects
    } ],
    "displayName": "string",
    "order": "int",
    "triggeringLogic": {
      "conditions": [ {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      } ],
      "expirationTimeUtc": "string",
      "isEnabled": "bool",
      "triggersOn": "string",
      "triggersWhen": "string"
    }
  }
}

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour booléen, utilisez :

{
  "conditionProperties": {
    "innerConditions": [ {
      "conditionType": "string"
      // For remaining properties, see AutomationRuleCondition objects
    } ],
    "operator": "string"
  },
  "conditionType": "Boolean"
}

Pour propriété, utilisez :

{
  "conditionProperties": {
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  },
  "conditionType": "Property"
}

Pour PropertyArray, utilisez :

{
  "conditionProperties": {
    "arrayConditionType": "string",
    "arrayType": "string",
    "itemConditions": [ {
      "conditionType": "string"
      // For remaining properties, see AutomationRuleCondition objects
    } ]
  },
  "conditionType": "PropertyArray"
}

Pour PropertyArrayChanged, utilisez :

{
  "conditionProperties": {
    "arrayType": "string",
    "changeType": "string"
  },
  "conditionType": "PropertyArrayChanged"
}

Pour PropertyChanged, utilisez :

{
  "conditionProperties": {
    "changeType": "string",
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  },
  "conditionType": "PropertyChanged"
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour addIncidentTask, utilisez :

{
  "actionConfiguration": {
    "description": "string",
    "title": "string"
  },
  "actionType": "AddIncidentTask"
}

Pour ModifyProperties, utilisez :

{
  "actionConfiguration": {
    "classification": "string",
    "classificationComment": "string",
    "classificationReason": "string",
    "labels": [
      {
        "labelName": "string"
      }
    ],
    "owner": {
      "assignedTo": "string",
      "email": "string",
      "objectId": "string",
      "ownerType": "string",
      "userPrincipalName": "string"
    },
    "severity": "string",
    "status": "string"
  },
  "actionType": "ModifyProperties"
}

Pour RunPlaybook, utilisez :

{
  "actionConfiguration": {
    "logicAppResourceId": "string",
    "tenantId": "string"
  },
  "actionType": "RunPlaybook"
}

Valeurs de la propriété

Microsoft.SecurityInsights/automatisationRègles

Nom	Descriptif	Valeur
apiVersion	Version de l’API	'2023-07-01-preview'
etag	Etag de la ressource Azure	ficelle
nom	Nom de la ressource	chaîne (obligatoire)
Propriétés	Propriétés de règle Automation	AutomationRuleProperties (obligatoire)
type	Type de ressource	« Microsoft.SecurityInsights/automationRules »

AddIncidentTaskActionProperties

Nom	Descriptif	Valeur
descriptif	Description de la tâche.	ficelle
titre	Titre de la tâche.	chaîne (obligatoire)

AutomatisationRègleAction

Nom	Descriptif	Valeur
type d'action	Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction.	'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obligatoire)
commande		int (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom	Descriptif	Valeur
actionConfiguration		AddIncidentTaskActionProperties
type d'action	Type de l’action de règle Automation.	'AddIncidentTask' (obligatoire)

AutomationRuleBooleanCondition

Nom	Descriptif	Valeur
intérieurConditions		AutomationRuleCondition[]
opérateur		« Et » « Ou »

AutomationRuleCondition

Nom	Descriptif	Valeur
conditionType	Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties.	'Booléen' 'Propriété' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obligatoire)

AutomationRuleModifyPropertiesAction

Nom	Descriptif	Valeur
actionConfiguration		incidentPropertiesAction
type d'action	Type de l’action de règle Automation.	'ModifyProperties' (obligatoire)

AutomationRuleProperties

Nom	Descriptif	Valeur
Actions	Actions à exécuter lorsque la règle d’automatisation est déclenchée.	AutomationRuleAction[] (obligatoire)
nom d’affichage	Nom complet de la règle Automation.	chaîne Contraintes: Longueur maximale = 500 (obligatoire)
commande	Ordre d’exécution de la règle d’automatisation.	Int Contraintes: Valeur minimale = 1 Valeur maximale = 1 000 (obligatoire)
triggeringLogic	Décrit la logique de déclenchement de règle d’automatisation.	AutomationRuleTriggeringLogic (obligatoire)

AutomationRulePropertyArrayChangedValuesCondition

Nom	Descriptif	Valeur
typede tableau		'Alertes' 'Commentaires' 'Étiquettes' « Tactique »
changeType		'Ajouté'

AutomationRulePropertyArrayValuesCondition

Nom	Descriptif	Valeur
arrayConditionType		'N’importe quel élément'
typede tableau		'Détails personnalisés' 'Valeurs CustomDetail'
itemConditions		AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Nom	Descriptif	Valeur
changeType		'Changé de' 'Changé pour'
opérateur		'Contient' 'Se termine par' « Égaux » 'Ne contient pas' 'NotEndsWith' 'Pas égal' 'Ne commence pas par' 'Commence par'
nom de propriété		'IncidentOwner' 'Gravité de l’incident' 'IncidentStatus'
propertyValeurs		chaîne[]

AutomationRulePropertyValuesCondition

Nom	Descriptif	Valeur
opérateur		'Contient' 'Se termine par' « Égaux » 'Ne contient pas' 'NotEndsWith' 'Pas égal' 'Ne commence pas par' 'Commence par'
nom de propriété	Propriété à évaluer dans une condition de propriété de règle Automation.	'AccountAadTenantId' 'AccountAadUserId' 'Nom du compte' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' « AzureResourceResourceId » « AzureResourceSubscriptionId » 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'Nom de fichier' 'HostAzureID' 'Nom d’hôte' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'Gravité de l’incident' 'IncidentStatus' 'IncidentTactics' 'Titre de l’incident' 'IncidentUpdatedBySource' 'IoTDeviceId' 'Modèle IoTDevice' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'Boîte aux lettresUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'Catégorie Malware' 'Nom du logiciel malveillant' 'ProcessCommandLine' 'ProcessId' 'Clé de registre' 'RegistryValueData' 'Url'
propertyValeurs		chaîne[]

AutomationRuleRunPlaybookAction

Nom	Descriptif	Valeur
actionConfiguration		PlaybookActionProperties
type d'action	Type de l’action de règle Automation.	'RunPlaybook' (obligatoire)

AutomationRuleTriggeringLogic

Nom	Descriptif	Valeur
conditions	Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné.	AutomationRuleCondition[]
expirationTimeUtc	Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement.	ficelle
isEnabled	Détermine si la règle d’automatisation est activée ou désactivée.	bool (obligatoire)
déclencheursSur		'Alertes' « Incidents » (obligatoire)
triggersQuand		'Créé' 'Mise à jour' (obligatoire)

BooleanConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRuleBooleanCondition
conditionType		'Boolean' (obligatoire)

IncidentLabel

Nom	Descriptif	Valeur
labelName	Nom de l’étiquette	chaîne (obligatoire)

IncidentOwnerInfo

Nom	Descriptif	Valeur
assignéÀ	Nom de l’utilisateur auquel l’incident est affecté.	ficelle
Messagerie électronique	E-mail de l’utilisateur auquel l’incident est affecté.	ficelle
objectId	ID d’objet de l’utilisateur auquel l’incident est affecté.	chaîne Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType	Type du propriétaire auquel l’incident est affecté.	'Groupe' 'Inconnu' 'Utilisateur'
Nom d'utilisateur principal	Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté.	ficelle

IncidentPropertiesAction

Nom	Descriptif	Valeur
classification	La raison pour laquelle l’incident a été fermé	'BienveillantPositif' 'FauxPositif' « VraiPositif » 'Indéterminé'
classificationCommentaire	Décrit la raison pour laquelle l’incident a été fermé.	ficelle
classificationRaison	La raison de classification avec laquelle l’incident a été fermé	'IncorrectData' 'IncorrectAlertLogic' 'Activité suspecte' 'SuspectButExpected'
Étiquettes	Liste des étiquettes à ajouter à l’incident.	IncidentLabel []
propriétaire	Informations sur l’utilisateur auquel un incident est affecté	incidentOwnerInfo
gravité	Gravité de l’incident	« Élevé » « Informatif » 'Faible' 'Moyen'
statut	État de l’incident	'Actif' 'Fermé' 'Nouveau'

PlaybookActionProperties

Nom	Descriptif	Valeur
logicAppResourceId	ID de ressource de la ressource playbook.	chaîne (obligatoire)
ID de locataire	ID de locataire de la ressource playbook.	chaîne Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyArrayChangedValuesCondition
conditionType		'PropertyArrayChanged' (obligatoire)

PropertyArrayConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyArrayValuesCondition
conditionType		'PropertyArray' (obligatoire)

PropertyChangedConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyValuesChangedCondition
conditionType		'PropertyChanged' (obligatoire)

PropertyConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyValuesCondition
conditionType		'Property' (obligatoire)

Exemples d’utilisation

Modèles de démarrage rapide Azure

Les modèles de démarrage rapide Azure suivants déployer ce type de ressource.

Modèle	Descriptif
Crée une règle Microsoft Sentinel Automation	Cet exemple montre comment créer une règle d’automatisation dans Microsoft Sentinel

Définition de ressource Terraform (fournisseur AzAPI)

Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le terraform suivant à votre modèle.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/automationRules@2023-07-01-preview"
  name = "string"
  parent_id = "string"
  body = {
    etag = "string"
    properties = {
      actions = [
        {
          order = int
          actionType = "string"
          // For remaining properties, see AutomationRuleAction objects
        }
      ]
      displayName = "string"
      order = int
      triggeringLogic = {
        conditions = [
          {
            conditionType = "string"
            // For remaining properties, see AutomationRuleCondition objects
          }
        ]
        expirationTimeUtc = "string"
        isEnabled = bool
        triggersOn = "string"
        triggersWhen = "string"
      }
    }
  }
}

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour booléen, utilisez :

{
  conditionProperties = {
    innerConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator = "string"
  }
  conditionType = "Boolean"
}

Pour propriété, utilisez :

{
  conditionProperties = {
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }
  conditionType = "Property"
}

Pour PropertyArray, utilisez :

{
  conditionProperties = {
    arrayConditionType = "string"
    arrayType = "string"
    itemConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }
  conditionType = "PropertyArray"
}

Pour PropertyArrayChanged, utilisez :

{
  conditionProperties = {
    arrayType = "string"
    changeType = "string"
  }
  conditionType = "PropertyArrayChanged"
}

Pour PropertyChanged, utilisez :

{
  conditionProperties = {
    changeType = "string"
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }
  conditionType = "PropertyChanged"
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour addIncidentTask, utilisez :

{
  actionConfiguration = {
    description = "string"
    title = "string"
  }
  actionType = "AddIncidentTask"
}

Pour ModifyProperties, utilisez :

{
  actionConfiguration = {
    classification = "string"
    classificationComment = "string"
    classificationReason = "string"
    labels = [
      {
        labelName = "string"
      }
    ]
    owner = {
      assignedTo = "string"
      email = "string"
      objectId = "string"
      ownerType = "string"
      userPrincipalName = "string"
    }
    severity = "string"
    status = "string"
  }
  actionType = "ModifyProperties"
}

Pour RunPlaybook, utilisez :

{
  actionConfiguration = {
    logicAppResourceId = "string"
    tenantId = "string"
  }
  actionType = "RunPlaybook"
}

Valeurs de la propriété

Microsoft.SecurityInsights/automatisationRègles

Nom	Descriptif	Valeur
etag	Etag de la ressource Azure	ficelle
nom	Nom de la ressource	chaîne (obligatoire)
parent_id	ID de la ressource à laquelle appliquer cette ressource d’extension.	chaîne (obligatoire)
Propriétés	Propriétés de règle Automation	AutomationRuleProperties (obligatoire)
type	Type de ressource	« Microsoft.SecurityInsights/automationRules@2023-07-01-preview »

AddIncidentTaskActionProperties

Nom	Descriptif	Valeur
descriptif	Description de la tâche.	ficelle
titre	Titre de la tâche.	chaîne (obligatoire)

AutomatisationRègleAction

Nom	Descriptif	Valeur
type d'action	Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction.	'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obligatoire)
commande		int (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom	Descriptif	Valeur
actionConfiguration		AddIncidentTaskActionProperties
type d'action	Type de l’action de règle Automation.	'AddIncidentTask' (obligatoire)

AutomationRuleBooleanCondition

Nom	Descriptif	Valeur
intérieurConditions		AutomationRuleCondition[]
opérateur		« Et » « Ou »

AutomationRuleCondition

Nom	Descriptif	Valeur
conditionType	Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties.	'Booléen' 'Propriété' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obligatoire)

AutomationRuleModifyPropertiesAction

Nom	Descriptif	Valeur
actionConfiguration		incidentPropertiesAction
type d'action	Type de l’action de règle Automation.	'ModifyProperties' (obligatoire)

AutomationRuleProperties

Nom	Descriptif	Valeur
Actions	Actions à exécuter lorsque la règle d’automatisation est déclenchée.	AutomationRuleAction[] (obligatoire)
nom d’affichage	Nom complet de la règle Automation.	chaîne Contraintes: Longueur maximale = 500 (obligatoire)
commande	Ordre d’exécution de la règle d’automatisation.	Int Contraintes: Valeur minimale = 1 Valeur maximale = 1 000 (obligatoire)
triggeringLogic	Décrit la logique de déclenchement de règle d’automatisation.	AutomationRuleTriggeringLogic (obligatoire)

AutomationRulePropertyArrayChangedValuesCondition

Nom	Descriptif	Valeur
typede tableau		'Alertes' 'Commentaires' 'Étiquettes' « Tactique »
changeType		'Ajouté'

AutomationRulePropertyArrayValuesCondition

Nom	Descriptif	Valeur
arrayConditionType		'N’importe quel élément'
typede tableau		'Détails personnalisés' 'Valeurs CustomDetail'
itemConditions		AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Nom	Descriptif	Valeur
changeType		'Changé de' 'Changé pour'
opérateur		'Contient' 'Se termine par' « Égaux » 'Ne contient pas' 'NotEndsWith' 'Pas égal' 'Ne commence pas par' 'Commence par'
nom de propriété		'IncidentOwner' 'Gravité de l’incident' 'IncidentStatus'
propertyValeurs		chaîne[]

AutomationRulePropertyValuesCondition

Nom	Descriptif	Valeur
opérateur		'Contient' 'Se termine par' « Égaux » 'Ne contient pas' 'NotEndsWith' 'Pas égal' 'Ne commence pas par' 'Commence par'
nom de propriété	Propriété à évaluer dans une condition de propriété de règle Automation.	'AccountAadTenantId' 'AccountAadUserId' 'Nom du compte' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' « AzureResourceResourceId » « AzureResourceSubscriptionId » 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'Nom de fichier' 'HostAzureID' 'Nom d’hôte' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'Gravité de l’incident' 'IncidentStatus' 'IncidentTactics' 'Titre de l’incident' 'IncidentUpdatedBySource' 'IoTDeviceId' 'Modèle IoTDevice' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'Boîte aux lettresUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'Catégorie Malware' 'Nom du logiciel malveillant' 'ProcessCommandLine' 'ProcessId' 'Clé de registre' 'RegistryValueData' 'Url'
propertyValeurs		chaîne[]

AutomationRuleRunPlaybookAction

Nom	Descriptif	Valeur
actionConfiguration		PlaybookActionProperties
type d'action	Type de l’action de règle Automation.	'RunPlaybook' (obligatoire)

AutomationRuleTriggeringLogic

Nom	Descriptif	Valeur
conditions	Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné.	AutomationRuleCondition[]
expirationTimeUtc	Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement.	ficelle
isEnabled	Détermine si la règle d’automatisation est activée ou désactivée.	bool (obligatoire)
déclencheursSur		'Alertes' « Incidents » (obligatoire)
triggersQuand		'Créé' 'Mise à jour' (obligatoire)

BooleanConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRuleBooleanCondition
conditionType		'Boolean' (obligatoire)

IncidentLabel

Nom	Descriptif	Valeur
labelName	Nom de l’étiquette	chaîne (obligatoire)

IncidentOwnerInfo

Nom	Descriptif	Valeur
assignéÀ	Nom de l’utilisateur auquel l’incident est affecté.	ficelle
Messagerie électronique	E-mail de l’utilisateur auquel l’incident est affecté.	ficelle
objectId	ID d’objet de l’utilisateur auquel l’incident est affecté.	chaîne Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType	Type du propriétaire auquel l’incident est affecté.	'Groupe' 'Inconnu' 'Utilisateur'
Nom d'utilisateur principal	Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté.	ficelle

IncidentPropertiesAction

Nom	Descriptif	Valeur
classification	La raison pour laquelle l’incident a été fermé	'BienveillantPositif' 'FauxPositif' « VraiPositif » 'Indéterminé'
classificationCommentaire	Décrit la raison pour laquelle l’incident a été fermé.	ficelle
classificationRaison	La raison de classification avec laquelle l’incident a été fermé	'IncorrectData' 'IncorrectAlertLogic' 'Activité suspecte' 'SuspectButExpected'
Étiquettes	Liste des étiquettes à ajouter à l’incident.	IncidentLabel []
propriétaire	Informations sur l’utilisateur auquel un incident est affecté	incidentOwnerInfo
gravité	Gravité de l’incident	« Élevé » « Informatif » 'Faible' 'Moyen'
statut	État de l’incident	'Actif' 'Fermé' 'Nouveau'

PlaybookActionProperties

Nom	Descriptif	Valeur
logicAppResourceId	ID de ressource de la ressource playbook.	chaîne (obligatoire)
ID de locataire	ID de locataire de la ressource playbook.	chaîne Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyArrayChangedValuesCondition
conditionType		'PropertyArrayChanged' (obligatoire)

PropertyArrayConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyArrayValuesCondition
conditionType		'PropertyArray' (obligatoire)

PropertyChangedConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyValuesChangedCondition
conditionType		'PropertyChanged' (obligatoire)

PropertyConditionProperties

Nom	Descriptif	Valeur
conditionPropriétés		AutomationRulePropertyValuesCondition
conditionType		'Property' (obligatoire)