Partager via

Microsoft.SecurityInsights alertRules

  • Article

Définition de ressource Bicep

Le type de ressource alertRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.

Utilisez la scope propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans Bicep.

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format des ressources

Pour créer une ressource Microsoft.SecurityInsights/alertRules, ajoutez le Bicep suivant à votre modèle.

resource symbolicname 'Microsoft.SecurityInsights/alertRules@2023-02-01-preview' = {
  name: 'string'
  kind: 'string'
  scope: resourceSymbolicName
  etag: 'string'
  // For remaining properties, see alertRules objects
}

objets alertRules

Définissez la propriété kind pour spécifier le type d’objet.

Pour Fusion, utilisez :

  kind: 'Fusion'
  properties: {
    alertRuleTemplateName: 'string'
    enabled: bool
    scenarioExclusionPatterns: [
      {
        dateAddedInUTC: 'string'
        exclusionPattern: 'string'
      }
    ]
    sourceSettings: [
      {
        enabled: bool
        sourceName: 'string'
        sourceSubTypes: [
          {
            enabled: bool
            severityFilters: {
              filters: [
                {
                  enabled: bool
                  severity: 'string'
                }
              ]
            }
            sourceSubTypeName: 'string'
          }
        ]
      }
    ]
  }

Pour MicrosoftSecurityIncidentCreation, utilisez :

  kind: 'MicrosoftSecurityIncidentCreation'
  properties: {
    alertRuleTemplateName: 'string'
    description: 'string'
    displayName: 'string'
    displayNamesExcludeFilter: [
      'string'
    ]
    displayNamesFilter: [
      'string'
    ]
    enabled: bool
    productFilter: 'string'
    severitiesFilter: [
      'string'
    ]
  }

Pour MLBehaviorAnalytics, utilisez :

  kind: 'MLBehaviorAnalytics'
  properties: {
    alertRuleTemplateName: 'string'
    enabled: bool
  }

Pour NRT, utilisez :

  kind: 'NRT'
  properties: {
    alertDetailsOverride: {
      alertDescriptionFormat: 'string'
      alertDisplayNameFormat: 'string'
      alertDynamicProperties: [
        {
          alertProperty: 'string'
          value: 'string'
        }
      ]
      alertSeverityColumnName: 'string'
      alertTacticsColumnName: 'string'
    }
    alertRuleTemplateName: 'string'
    customDetails: {}
    description: 'string'
    displayName: 'string'
    enabled: bool
    entityMappings: [
      {
        entityType: 'string'
        fieldMappings: [
          {
            columnName: 'string'
            identifier: 'string'
          }
        ]
      }
    ]
    eventGroupingSettings: {
      aggregationKind: 'string'
    }
    incidentConfiguration: {
      createIncident: bool
      groupingConfiguration: {
        enabled: bool
        groupByAlertDetails: [
          'string'
        ]
        groupByCustomDetails: [
          'string'
        ]
        groupByEntities: [
          'string'
        ]
        lookbackDuration: 'string'
        matchingMethod: 'string'
        reopenClosedIncident: bool
      }
    }
    query: 'string'
    sentinelEntitiesMappings: [
      {
        columnName: 'string'
      }
    ]
    severity: 'string'
    suppressionDuration: 'string'
    suppressionEnabled: bool
    tactics: [
      'string'
    ]
    techniques: [
      'string'
    ]
    templateVersion: 'string'
  }

Pour Planifié, utilisez :

  kind: 'Scheduled'
  properties: {
    alertDetailsOverride: {
      alertDescriptionFormat: 'string'
      alertDisplayNameFormat: 'string'
      alertDynamicProperties: [
        {
          alertProperty: 'string'
          value: 'string'
        }
      ]
      alertSeverityColumnName: 'string'
      alertTacticsColumnName: 'string'
    }
    alertRuleTemplateName: 'string'
    customDetails: {}
    description: 'string'
    displayName: 'string'
    enabled: bool
    entityMappings: [
      {
        entityType: 'string'
        fieldMappings: [
          {
            columnName: 'string'
            identifier: 'string'
          }
        ]
      }
    ]
    eventGroupingSettings: {
      aggregationKind: 'string'
    }
    incidentConfiguration: {
      createIncident: bool
      groupingConfiguration: {
        enabled: bool
        groupByAlertDetails: [
          'string'
        ]
        groupByCustomDetails: [
          'string'
        ]
        groupByEntities: [
          'string'
        ]
        lookbackDuration: 'string'
        matchingMethod: 'string'
        reopenClosedIncident: bool
      }
    }
    query: 'string'
    queryFrequency: 'string'
    queryPeriod: 'string'
    sentinelEntitiesMappings: [
      {
        columnName: 'string'
      }
    ]
    severity: 'string'
    suppressionDuration: 'string'
    suppressionEnabled: bool
    tactics: [
      'string'
    ]
    techniques: [
      'string'
    ]
    templateVersion: 'string'
    triggerOperator: 'string'
    triggerThreshold: int
  }

Pour ThreatIntelligence, utilisez :

  kind: 'ThreatIntelligence'
  properties: {
    alertRuleTemplateName: 'string'
    enabled: bool
  }

Valeurs de propriétés

alertRules

Nom Description Valeur
name Nom de la ressource chaîne (obligatoire)
kind Définir le type d’objet Fusion
MicrosoftSecurityIncidentCreation
MLBehaviorAnalytics
NRT
Planifié
ThreatIntelligence (obligatoire)
scope Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue du déploiement. Ressource cible

Pour Bicep, définissez cette propriété sur le nom symbolique de la ressource pour appliquer la ressource d’extension.
etag Etag de la ressource Azure string

FusionAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'Fusion' (obligatoire)
properties Propriétés de la règle d’alerte Fusion FusionAlertRuleProperties

FusionAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. chaîne (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
scenarioExclusionPatterns Configuration pour exclure des scénarios dans la détection de fusion. FusionScenarioExclusionPattern[]
sourceSettings Configuration de tous les signaux sources pris en charge dans la détection de fusion. FusionSourceSettings[]

FusionScenarioExclusionPattern

Nom Description Valeur
dateAddedInUTC DateTime lorsque le modèle d’exclusion de scénario est ajouté en UTC. chaîne (obligatoire)
exclusionPattern Modèle d’exclusion de scénario. chaîne (obligatoire)

FusionSourceSettings

Nom Description Valeur
enabled Détermine si ce signal source est activé ou désactivé dans la détection Fusion. bool (obligatoire)
sourceName Nom du signal source Fusion. Reportez-vous au modèle de règle d’alerte Fusion pour connaître les valeurs prises en charge. chaîne (obligatoire)
sourceSubTypes Configuration de tous les sous-types sources sous ce signal source consommés dans la détection de fusion. FusionSourceSubTypeSetting[]

FusionSourceSubTypeSetting

Nom Description Valeur
enabled Détermine si ce sous-type source sous le signal source est activé ou désactivé dans la détection Fusion. bool (obligatoire)
severityFilters Configuration de gravité pour un sous-type source consommé dans la détection de fusion. FusionSubTypeSeverityFilter (obligatoire)
sourceSubTypeName Nom du sous-type source sous un signal source donné dans la détection Fusion. Reportez-vous au modèle de règle d’alerte Fusion pour connaître les valeurs prises en charge. chaîne (obligatoire)

FusionSubTypeSeverityFilter

Nom Description Valeur
filtres Paramètres de configuration de gravité individuels pour un sous-type source donné consommé dans la détection Fusion. FusionSubTypeSeverityFiltersItem[]

FusionSubTypeSeverityFiltersItem

Nom Description Valeur
enabled Détermine si cette gravité est activée ou désactivée pour ce sous-type source consommé dans la détection Fusion. bool (obligatoire)
severity Gravité d’un sous-type source donné consommé dans la détection Fusion. 'High'
« Informationnelle »
'Faible'
'Medium' (obligatoire)

MicrosoftSecurityIncidentCreationAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'MicrosoftSecurityIncidentCreation' (obligatoire)
properties Propriétés de règle MicrosoftSecurityIncidentCreation MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
description Description de la règle d’alerte. string
displayName Nom d’affichage des alertes créées par cette règle d’alerte. chaîne (obligatoire)
displayNamesExcludeFilter les displayNames des alertes sur lesquels les cas ne seront pas générés string[]
displayNamesFilter les displayNames des alertes sur lesquels les cas seront générés string[]
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
productFilter ProductName des alertes sur lequel les cas seront générés « Azure Active Directory Identity Protection »
« Azure Advanced Threat Protection »
« Azure Security Center pour IoT »
'Azure Security Center'
« Microsoft Sécurité des applications infonuagiques »
« Microsoft Defender protection avancée contre les menaces »
« Office 365 protection avancée contre les menaces » (obligatoire)
gravitésFiltre les gravités des alertes sur lesquelles les cas seront générés Tableau de chaînes contenant l’un des éléments suivants :
'High'
« Informationnelle »
'Faible'
'Moyen'

MLBehaviorAnalyticsAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'MLBehaviorAnalytics' (obligatoire)
properties Propriétés de la règle d’alerte MLBehaviorAnalytics MLBehaviorAnalyticsAlertRuleProperties

MLBehaviorAnalyticsAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)

NrtAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'NRT' (obligatoire)
properties Propriétés de la règle d’alerte NRT NrtAlertRuleProperties

NrtAlertRuleProperties

Nom Description Valeur
alertDetailsOverride Paramètres de remplacement des détails de l’alerte AlertDetailsOverride
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
customDetails Dictionnaire de paires clé-valeur de chaîne de colonnes à attacher à l’alerte object
description Description de la règle d’alerte. string
displayName Nom complet des alertes créées par cette règle d’alerte. string (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
entityMappings Tableau des mappages d’entités de la règle d’alerte EntityMapping[]
eventGroupingSettings Paramètres de regroupement d’événements. EventGroupingSettings
incidentConfiguration Paramètres des incidents créés à partir d’alertes déclenchées par cette règle d’analytique IncidentConfiguration
query Requête qui crée des alertes pour cette règle. string (obligatoire)
sentinelEntitiesMappings Tableau des mappages d’entités sentinel de la règle d’alerte SentinelEntityMapping[]
severity Gravité des alertes créées par cette règle d’alerte. 'High'
'Informational'
'Low'
'Medium' (obligatoire)
suppressionDuration Suppression (au format de durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. string (obligatoire)
suppressionEnabled Détermine si la suppression de cette règle d’alerte est activée ou désactivée. bool (obligatoire)
Tactiques Tactiques de la règle d’alerte Tableau de chaînes contenant l’un des éléments suivants :
'Collection'
'CommandAndControl'
'CredentialAccess'
'DefenseEvasion'
'Discovery'
'Execution'
'Exfiltration'
'Impact'
'ImpairProcessControl'
'InhibitResponseFunction'
'InitialAccess'
'LateralMovement'
'Persistance'
'PreAttack'
'PrivilegeEscalation'
'Reconnaissance'
'ResourceDevelopment'
techniques Techniques de la règle d’alerte string[]
templateVersion Version du modèle de règle d’alerte utilisé pour créer cette règle - au format {a.b.c}, où tous sont des nombres, par exemple 0 {1.0.2} string

AlertDetailsOverride

Nom Description Valeur
alertDescriptionFormat format contenant le ou les noms de colonnes pour remplacer la description de l’alerte string
alertDisplayNameFormat format contenant le ou les noms de colonnes pour remplacer le nom de l’alerte string
alertDynamicProperties Liste des propriétés dynamiques supplémentaires à remplacer AlertPropertyMapping[]
alertSeverityColumnName nom de colonne à partir duquel prendre la gravité de l’alerte string
alertTacticsColumnName nom de colonne à partir duquel prendre les tactiques d’alerte string

AlertPropertyMapping

Nom Description Valeur
alertProperty Propriété d’alerte V3 'AlertLink'
'ConfidenceLevel'
'ConfidenceScore'
'ExtendedLinks'
'ProductComponentName'
'ProductName'
'ProviderName'
'RemediationSteps'
'Techniques'
valeur nom de colonne à utiliser pour remplacer cette propriété string

EntityMapping

Nom Description Valeur
entityType Type V3 de l’entité mappée 'Compte'
'AzureResource'
'CloudApplication'
'DNS'
'File'
'FileHash'
'Host'
'IP'
'MailCluster'
'MailMessage'
'Mailbox'
'Programme malveillant'
'Process'
'RegistryKey'
'RegistryValue'
'SecurityGroup'
« SubmissionMail »
'URL'
fieldMappings tableau de mappages de champs pour le mappage d’entité donné FieldMapping[]

FieldMapping

Nom Description Valeur
columnName nom de colonne à mapper à l’identificateur string
identificateur Identificateur V3 de l’entité string

EventGroupingSettings

Nom Description Valeur
aggregationKind Types d’agrégation de regroupement d’événements 'AlertPerResult'
'SingleAlert'

IncidentConfiguration

Nom Description Valeur
createIncident Créer des incidents à partir d’alertes déclenchées par cette règle d’analytique bool (obligatoire)
groupingConfiguration Définir la façon dont les alertes déclenchées par cette règle d’analytique sont regroupées en incidents GroupingConfiguration

GroupingConfiguration

Nom Description Valeur
enabled Regroupement activé bool (obligatoire)
groupByAlertDetails Liste des détails de l’alerte à regrouper par (lorsque matchingMethod est sélectionné) Tableau de chaînes contenant l’un des éléments suivants :
'DisplayName'
'Gravité'
groupByCustomDetails Liste des clés de détails personnalisées à regrouper par (lorsque la correspondanceMethod est sélectionnée). Seules les clés définies dans la règle d’alerte actuelle peuvent être utilisées. string[]
groupByEntities Liste des types d’entités à regrouper (lorsque matchingMethod est Sélectionné). Seules les entités définies dans la règle d’alerte actuelle peuvent être utilisées. Tableau de chaînes contenant l’un des éléments suivants :
'Compte'
'AzureResource'
'CloudApplication'
'DNS'
'Fichier'
'FileHash'
'Host'
'IP'
'MailCluster'
'MailMessage'
'Boîte aux lettres'
'Programme malveillant'
'Processus'
'RegistryKey'
'RegistryValue'
'SecurityGroup'
« SubmissionMail »
'URL'
lookbackDuration Limiter le groupe aux alertes créées pendant la durée de recherche en arrière (au format de durée ISO 8601) chaîne (obligatoire)
matchingMethod Méthode de correspondance de regroupement. Lorsque la méthode est Sélectionnée au moins l’une des valeurs groupByEntities, groupByAlertDetails, groupByCustomDetails doit être fourni et non vide. 'AllEntities'
'AnyAlert'
'Selected' (obligatoire)
rouvrirClosedIncident Rouvrir les incidents de correspondance fermés bool (obligatoire)

SentinelEntityMapping

Nom Description Valeur
columnName nom de colonne à mapper à SentinelEntities string

ScheduledAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'Planifié' (obligatoire)
properties Propriétés de règle d’alerte planifiée ScheduledAlertRuleProperties

ScheduledAlertRuleProperties

Nom Description Valeur
alertDetailsOverride Paramètres de remplacement des détails de l’alerte AlertDetailsOverride
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
customDetails Dictionnaire des paires clé-valeur de chaîne de colonnes à attacher à l’alerte object
description Description de la règle d’alerte. string
displayName Nom d’affichage des alertes créées par cette règle d’alerte. chaîne (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
entityMappings Tableau des mappages d’entités de la règle d’alerte EntityMapping[]
eventGroupingSettings Paramètres de regroupement d’événements. EventGroupingSettings
incidentConfiguration Paramètres des incidents créés à partir d’alertes déclenchées par cette règle d’analytique IncidentConfiguration
query Requête qui crée des alertes pour cette règle. string
queryFrequency Fréquence (au format de durée ISO 8601) pour l’exécution de cette règle d’alerte. string
queryPeriod Période (au format durée ISO 8601) que cette règle d’alerte examine. string
sentinelEntitiesMappings Tableau des mappages d’entités sentinelles de la règle d’alerte SentinelEntityMapping[]
severity Gravité des alertes créées par cette règle d’alerte. 'High'
'Informational'
'Low'
'Medium'
suppressionDuration Suppression (au format de durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. string (obligatoire)
suppressionEnabled Détermine si la suppression de cette règle d’alerte est activée ou désactivée. bool (obligatoire)
Tactiques Tactiques de la règle d’alerte Tableau de chaînes contenant l’un des éléments suivants :
'Collection'
'CommandAndControl'
'CredentialAccess'
'DefenseEvasion'
'Discovery'
'Execution'
'Exfiltration'
'Impact'
'ImpairProcessControl'
'InhibitResponseFunction'
'InitialAccess'
'LateralMovement'
'Persistance'
'PreAttack'
'PrivilegeEscalation'
'Reconnaissance'
'ResourceDevelopment'
techniques Techniques de la règle d’alerte string[]
templateVersion Version du modèle de règle d’alerte utilisé pour créer cette règle - au format {a.b.c}, où tous sont des nombres, par exemple 0 {1.0.2} string
triggerOperator Opération par rapport au seuil qui déclenche la règle d’alerte. 'Equal'
'GreaterThan'
'LessThan'
'NotEqual'
triggerThreshold Le seuil déclenche cette règle d’alerte. int

ThreatIntelligenceAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'ThreatIntelligence' (obligatoire)
properties Propriétés de la règle d’alerte Threat Intelligence ThreatIntelligenceAlertRuleProperties

ThreatIntelligenceAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)

Modèles de démarrage rapide

Les modèles de démarrage rapide suivants déploient ce type de ressource.

Modèle Description
Crée une règle d’analytique planifiée Microsoft Sentinel

Déployer sur Azure		 Cet exemple montre comment créer une règle d’analytique planifiée dans Microsoft Sentinel

Définition de ressources de modèle ARM

Le type de ressource alertRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.

Utilisez la scope propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans les modèles ARM.

Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.

Format des ressources

Pour créer une ressource Microsoft.SecurityInsights/alertRules, ajoutez le code JSON suivant à votre modèle.

{
  "type": "Microsoft.SecurityInsights/alertRules",
  "apiVersion": "2023-02-01-preview",
  "name": "string",
  "kind": "string",
  "scope": "string",
  "etag": "string",
  // For remaining properties, see alertRules objects
}

objets alertRules

Définissez la propriété kind pour spécifier le type d’objet.

Pour Fusion, utilisez :

  "kind": "Fusion",
  "properties": {
    "alertRuleTemplateName": "string",
    "enabled": "bool",
    "scenarioExclusionPatterns": [
      {
        "dateAddedInUTC": "string",
        "exclusionPattern": "string"
      }
    ],
    "sourceSettings": [
      {
        "enabled": "bool",
        "sourceName": "string",
        "sourceSubTypes": [
          {
            "enabled": "bool",
            "severityFilters": {
              "filters": [
                {
                  "enabled": "bool",
                  "severity": "string"
                }
              ]
            },
            "sourceSubTypeName": "string"
          }
        ]
      }
    ]
  }

Pour MicrosoftSecurityIncidentCreation, utilisez :

  "kind": "MicrosoftSecurityIncidentCreation",
  "properties": {
    "alertRuleTemplateName": "string",
    "description": "string",
    "displayName": "string",
    "displayNamesExcludeFilter": [ "string" ],
    "displayNamesFilter": [ "string" ],
    "enabled": "bool",
    "productFilter": "string",
    "severitiesFilter": [ "string" ]
  }

Pour MLBehaviorAnalytics, utilisez :

  "kind": "MLBehaviorAnalytics",
  "properties": {
    "alertRuleTemplateName": "string",
    "enabled": "bool"
  }

Pour NRT, utilisez :

  "kind": "NRT",
  "properties": {
    "alertDetailsOverride": {
      "alertDescriptionFormat": "string",
      "alertDisplayNameFormat": "string",
      "alertDynamicProperties": [
        {
          "alertProperty": "string",
          "value": "string"
        }
      ],
      "alertSeverityColumnName": "string",
      "alertTacticsColumnName": "string"
    },
    "alertRuleTemplateName": "string",
    "customDetails": {},
    "description": "string",
    "displayName": "string",
    "enabled": "bool",
    "entityMappings": [
      {
        "entityType": "string",
        "fieldMappings": [
          {
            "columnName": "string",
            "identifier": "string"
          }
        ]
      }
    ],
    "eventGroupingSettings": {
      "aggregationKind": "string"
    },
    "incidentConfiguration": {
      "createIncident": "bool",
      "groupingConfiguration": {
        "enabled": "bool",
        "groupByAlertDetails": [ "string" ],
        "groupByCustomDetails": [ "string" ],
        "groupByEntities": [ "string" ],
        "lookbackDuration": "string",
        "matchingMethod": "string",
        "reopenClosedIncident": "bool"
      }
    },
    "query": "string",
    "sentinelEntitiesMappings": [
      {
        "columnName": "string"
      }
    ],
    "severity": "string",
    "suppressionDuration": "string",
    "suppressionEnabled": "bool",
    "tactics": [ "string" ],
    "techniques": [ "string" ],
    "templateVersion": "string"
  }

Pour Planifié, utilisez :

  "kind": "Scheduled",
  "properties": {
    "alertDetailsOverride": {
      "alertDescriptionFormat": "string",
      "alertDisplayNameFormat": "string",
      "alertDynamicProperties": [
        {
          "alertProperty": "string",
          "value": "string"
        }
      ],
      "alertSeverityColumnName": "string",
      "alertTacticsColumnName": "string"
    },
    "alertRuleTemplateName": "string",
    "customDetails": {},
    "description": "string",
    "displayName": "string",
    "enabled": "bool",
    "entityMappings": [
      {
        "entityType": "string",
        "fieldMappings": [
          {
            "columnName": "string",
            "identifier": "string"
          }
        ]
      }
    ],
    "eventGroupingSettings": {
      "aggregationKind": "string"
    },
    "incidentConfiguration": {
      "createIncident": "bool",
      "groupingConfiguration": {
        "enabled": "bool",
        "groupByAlertDetails": [ "string" ],
        "groupByCustomDetails": [ "string" ],
        "groupByEntities": [ "string" ],
        "lookbackDuration": "string",
        "matchingMethod": "string",
        "reopenClosedIncident": "bool"
      }
    },
    "query": "string",
    "queryFrequency": "string",
    "queryPeriod": "string",
    "sentinelEntitiesMappings": [
      {
        "columnName": "string"
      }
    ],
    "severity": "string",
    "suppressionDuration": "string",
    "suppressionEnabled": "bool",
    "tactics": [ "string" ],
    "techniques": [ "string" ],
    "templateVersion": "string",
    "triggerOperator": "string",
    "triggerThreshold": "int"
  }

Pour ThreatIntelligence, utilisez :

  "kind": "ThreatIntelligence",
  "properties": {
    "alertRuleTemplateName": "string",
    "enabled": "bool"
  }

Valeurs de propriétés

alertRules

Nom Description Valeur
type Type de ressource 'Microsoft.SecurityInsights/alertRules'
apiVersion Version de l’API de ressource '2023-02-01-preview'
name Nom de la ressource string (obligatoire)
kind Définir le type d’objet Fusion
MicrosoftSecurityIncidentCreation
MLBehaviorAnalytics
NRT
Planifié
ThreatIntelligence (obligatoire)
scope Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue de déploiement. Ressource cible

Pour JSON, définissez la valeur sur le nom complet de la ressource à laquelle appliquer la ressource d’extension .
etag Etag de la ressource Azure string

FusionAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'Fusion' (obligatoire)
properties Propriétés de la règle d’alerte Fusion FusionAlertRuleProperties

FusionAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
scenarioExclusionPatterns Configuration pour exclure des scénarios dans la détection de fusion. FusionScenarioExclusionPattern[]
sourceSettings Configuration de tous les signaux sources pris en charge dans la détection de fusion. FusionSourceSettings[]

FusionScenarioExclusionPattern

Nom Description Valeur
dateAddedInUTC DateTime lorsque le modèle d’exclusion de scénario est ajouté au format UTC. string (obligatoire)
exclusionPattern Modèle d’exclusion de scénario. string (obligatoire)

FusionSourceSettings

Nom Description Valeur
enabled Détermine si ce signal source est activé ou désactivé dans la détection Fusion. bool (obligatoire)
sourceName Nom du signal source Fusion. Reportez-vous au modèle de règle d’alerte Fusion pour connaître les valeurs prises en charge. string (obligatoire)
sourceSubTypes Configuration de tous les sous-types sources sous ce signal source consommés dans la détection de fusion. FusionSourceSubTypeSetting[]

FusionSourceSubTypeSetting

Nom Description Valeur
enabled Détermine si ce sous-type source sous le signal source est activé ou désactivé dans la détection Fusion. bool (obligatoire)
severityFilters Configuration de la gravité d’un sous-type source consommé dans la détection de fusion. FusionSubTypeSeverityFilter (obligatoire)
sourceSubTypeName Nom du sous-type source sous un signal source donné dans la détection Fusion. Reportez-vous au modèle de règle d’alerte Fusion pour connaître les valeurs prises en charge. string (obligatoire)

FusionSubTypeSeverityFilter

Nom Description Valeur
filtres Paramètres de configuration de gravité individuels pour un sous-type de source donné consommé dans la détection Fusion. FusionSubTypeSeverityFiltersItem[]

FusionSubTypeSeverityFiltersItem

Nom Description Valeur
enabled Détermine si cette gravité est activée ou désactivée pour ce sous-type de source consommé dans la détection Fusion. bool (obligatoire)
severity Gravité d’un sous-type de source donné consommé dans la détection Fusion. 'High'
« Informationnelle »
'Faible'
'Medium' (obligatoire)

MicrosoftSecurityIncidentCreationAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'MicrosoftSecurityIncidentCreation' (obligatoire)
properties Propriétés de règle MicrosoftSecurityIncidentCreation MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
description Description de la règle d’alerte. string
displayName Nom d’affichage des alertes créées par cette règle d’alerte. chaîne (obligatoire)
displayNamesExcludeFilter les displayNames des alertes sur lesquels les cas ne seront pas générés string[]
displayNamesFilter les displayNames des alertes sur lesquels les cas seront générés string[]
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
productFilter ProductName des alertes sur lequel les cas seront générés « Azure Active Directory Identity Protection »
« Azure Advanced Threat Protection »
« Azure Security Center pour IoT »
'Azure Security Center'
« Microsoft Sécurité des applications infonuagiques »
« Microsoft Defender protection avancée contre les menaces »
« Office 365 protection avancée contre les menaces » (obligatoire)
gravitésFiltre les gravités des alertes sur lesquelles les cas seront générés Tableau de chaînes contenant l’un des éléments suivants :
'High'
« Informationnelle »
'Faible'
'Moyen'

MLBehaviorAnalyticsAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'MLBehaviorAnalytics' (obligatoire)
properties Propriétés de règle d’alerte MLBehaviorAnalytics MLBehaviorAnalyticsAlertRuleProperties

MLBehaviorAnalyticsAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. chaîne (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)

NrtAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'NRT' (obligatoire)
properties Propriétés de la règle d’alerte NRT NrtAlertRuleProperties

NrtAlertRuleProperties

Nom Description Valeur
alertDetailsOverride Paramètres de remplacement des détails de l’alerte AlertDetailsOverride
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
customDetails Dictionnaire des paires clé-valeur de chaîne de colonnes à attacher à l’alerte object
description Description de la règle d’alerte. string
displayName Nom d’affichage des alertes créées par cette règle d’alerte. chaîne (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
entityMappings Tableau des mappages d’entités de la règle d’alerte EntityMapping[]
eventGroupingSettings Paramètres de regroupement d’événements. EventGroupingSettings
incidentConfiguration Paramètres des incidents créés à partir d’alertes déclenchées par cette règle d’analytique IncidentConfiguration
query Requête qui crée des alertes pour cette règle. string (obligatoire)
sentinelEntitiesMappings Tableau des mappages d’entités sentinel de la règle d’alerte SentinelEntityMapping[]
severity Gravité des alertes créées par cette règle d’alerte. 'High'
'Informational'
'Low'
'Medium' (obligatoire)
suppressionDuration Suppression (au format de durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. string (obligatoire)
suppressionEnabled Détermine si la suppression de cette règle d’alerte est activée ou désactivée. bool (obligatoire)
Tactiques Tactiques de la règle d’alerte Tableau de chaînes contenant l’un des éléments suivants :
'Collection'
'CommandAndControl'
'CredentialAccess'
'DefenseEvasion'
'Discovery'
'Execution'
'Exfiltration'
'Impact'
'ImpairProcessControl'
'InhibitResponseFunction'
'InitialAccess'
'LateralMovement'
'Persistance'
'PreAttack'
'PrivilegeEscalation'
'Reconnaissance'
'ResourceDevelopment'
techniques Techniques de la règle d’alerte string[]
templateVersion Version du modèle de règle d’alerte utilisé pour créer cette règle - au format {a.b.c}, où tous sont des nombres, par exemple 0 {1.0.2} string

AlertDetailsOverride

Nom Description Valeur
alertDescriptionFormat format contenant le ou les noms de colonnes pour remplacer la description de l’alerte string
alertDisplayNameFormat format contenant le ou les noms de colonnes pour remplacer le nom de l’alerte string
alertDynamicProperties Liste des propriétés dynamiques supplémentaires à remplacer AlertPropertyMapping[]
alertSeverityColumnName nom de colonne à partir duquel prendre la gravité de l’alerte string
alertTacticsColumnName nom de colonne à partir duquel prendre les tactiques d’alerte string

AlertPropertyMapping

Nom Description Valeur
alertProperty Propriété d’alerte V3 'AlertLink'
'ConfidenceLevel'
'ConfidenceScore'
'ExtendedLinks'
'ProductComponentName'
'ProductName'
'ProviderName'
'RemediationSteps'
'Techniques'
valeur nom de colonne à utiliser pour remplacer cette propriété string

EntityMapping

Nom Description Valeur
entityType Type V3 de l’entité mappée 'Compte'
'AzureResource'
'CloudApplication'
'DNS'
'Fichier'
'FileHash'
'Host'
'IP'
'MailCluster'
'MailMessage'
'Boîte aux lettres'
'Programme malveillant'
'Processus'
'RegistryKey'
'RegistryValue'
'SecurityGroup'
« SubmissionMail »
'URL'
fieldMappings tableau de mappages de champs pour le mappage d’entité donné FieldMapping[]

FieldMapping

Nom Description Valeur
columnName nom de colonne à mapper à l’identificateur string
identificateur identificateur V3 de l’entité string

EventGroupingSettings

Nom Description Valeur
agrégationKind Types d’agrégation de regroupement d’événements 'AlertPerResult'
'SingleAlert'

IncidentConfiguration

Nom Description Valeur
createIncident Créer des incidents à partir d’alertes déclenchées par cette règle d’analytique bool (obligatoire)
groupingConfiguration Définir la façon dont les alertes déclenchées par cette règle d’analytique sont regroupées en incidents GroupingConfiguration

GroupingConfiguration

Nom Description Valeur
enabled Regroupement activé bool (obligatoire)
groupByAlertDetails Liste des détails d’alerte à regrouper par (lorsque la correspondancemethod est sélectionnée) Tableau de chaînes contenant l’un des éléments suivants :
'DisplayName'
'Gravité'
groupByCustomDetails Liste des clés de détails personnalisées à regrouper par (lorsque la correspondanceMethod est sélectionnée). Seules les clés définies dans la règle d’alerte actuelle peuvent être utilisées. string[]
groupByEntities Liste des types d’entités à regrouper (lorsque matchingMethod est Sélectionné). Seules les entités définies dans la règle d’alerte actuelle peuvent être utilisées. Tableau de chaînes contenant l’un des éléments suivants :
'Compte'
'AzureResource'
'CloudApplication'
'DNS'
'Fichier'
'FileHash'
'Host'
'IP'
'MailCluster'
'MailMessage'
'Boîte aux lettres'
'Programme malveillant'
'Processus'
'RegistryKey'
'RegistryValue'
'SecurityGroup'
« SubmissionMail »
'URL'
lookbackDuration Limiter le groupe aux alertes créées pendant la durée de recherche en arrière (au format de durée ISO 8601) chaîne (obligatoire)
matchingMethod Méthode de correspondance de regroupement. Lorsque la méthode est Sélectionnée au moins l’une des valeurs groupByEntities, groupByAlertDetails, groupByCustomDetails doit être fourni et non vide. 'AllEntities'
'AnyAlert'
'Selected' (obligatoire)
rouvrirClosedIncident Rouvrir les incidents de correspondance fermés bool (obligatoire)

SentinelEntityMapping

Nom Description Valeur
columnName nom de colonne à mapper à SentinelEntities string

ScheduledAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'Scheduled' (obligatoire)
properties Propriétés de la règle d’alerte planifiée ScheduledAlertRuleProperties

ScheduledAlertRuleProperties

Nom Description Valeur
alertDetailsOverride Paramètres de remplacement des détails de l’alerte AlertDetailsOverride
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
customDetails Dictionnaire de paires clé-valeur de chaîne de colonnes à attacher à l’alerte object
description Description de la règle d’alerte. string
displayName Nom complet des alertes créées par cette règle d’alerte. string (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
entityMappings Tableau des mappages d’entités de la règle d’alerte EntityMapping[]
eventGroupingSettings Paramètres de regroupement d’événements. EventGroupingSettings
incidentConfiguration Paramètres des incidents créés à partir d’alertes déclenchées par cette règle d’analytique IncidentConfiguration
query Requête qui crée des alertes pour cette règle. string
queryFrequency Fréquence (au format de durée ISO 8601) pour l’exécution de cette règle d’alerte. string
queryPeriod Période (au format de durée ISO 8601) que cette règle d’alerte examine. string
sentinelEntitiesMappings Tableau des mappages d’entités sentinel de la règle d’alerte SentinelEntityMapping[]
severity Gravité des alertes créées par cette règle d’alerte. 'High'
'Informational'
'Low'
'Medium'
suppressionDuration Suppression (au format de durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. string (obligatoire)
suppressionEnabled Détermine si la suppression de cette règle d’alerte est activée ou désactivée. bool (obligatoire)
Tactiques Tactiques de la règle d’alerte Tableau de chaînes contenant l’un des éléments suivants :
'Collection'
'CommandAndControl'
'CredentialAccess'
'DefenseEvasion'
'Discovery'
'Execution'
'Exfiltration'
'Impact'
'ImpairProcessControl'
'InhibitResponseFunction'
'InitialAccess'
'LateralMovement'
'Persistance'
'PreAttack'
'PrivilegeEscalation'
'Reconnaissance'
'ResourceDevelopment'
techniques Techniques de la règle d’alerte string[]
templateVersion Version du modèle de règle d’alerte utilisé pour créer cette règle - au format {a.b.c}, où tous sont des nombres, par exemple 0 {1.0.2} string
triggerOperator Opération par rapport au seuil qui déclenche la règle d’alerte. 'Equal'
'GreaterThan'
'LessThan'
'NotEqual'
triggerThreshold Le seuil déclenche cette règle d’alerte. int

ThreatIntelligenceAlertRule

Nom Description Valeur
kind Type de règle d’alerte 'ThreatIntelligence' (obligatoire)
properties Propriétés de la règle d’alerte Threat Intelligence ThreatIntelligenceAlertRuleProperties

ThreatIntelligenceAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. chaîne (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)

Modèles de démarrage rapide

Les modèles de démarrage rapide suivants déploient ce type de ressource.

Modèle Description
Crée une règle d’analyse planifiée Microsoft Sentinel

Déployer sur Azure		 Cet exemple montre comment créer une règle d’analyse planifiée dans Microsoft Sentinel

Définition de ressource Terraform (fournisseur AzAPI)

Le type de ressource alertRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.

Utilisez la parent_id propriété sur cette ressource pour définir l’étendue de cette ressource.

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format des ressources

Pour créer une ressource Microsoft.SecurityInsights/alertRules, ajoutez le Terraform suivant à votre modèle.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/alertRules@2023-02-01-preview"
  name = "string"
  parent_id = "string"
  // For remaining properties, see alertRules objects
  body = jsonencode({
    kind = "string"
    etag = "string"
  })
}

objets alertRules

Définissez la propriété kind pour spécifier le type d’objet.

Pour Fusion, utilisez :

  kind = "Fusion"
  properties = {
    alertRuleTemplateName = "string"
    enabled = bool
    scenarioExclusionPatterns = [
      {
        dateAddedInUTC = "string"
        exclusionPattern = "string"
      }
    ]
    sourceSettings = [
      {
        enabled = bool
        sourceName = "string"
        sourceSubTypes = [
          {
            enabled = bool
            severityFilters = {
              filters = [
                {
                  enabled = bool
                  severity = "string"
                }
              ]
            }
            sourceSubTypeName = "string"
          }
        ]
      }
    ]
  }

Pour MicrosoftSecurityIncidentCreation, utilisez :

  kind = "MicrosoftSecurityIncidentCreation"
  properties = {
    alertRuleTemplateName = "string"
    description = "string"
    displayName = "string"
    displayNamesExcludeFilter = [
      "string"
    ]
    displayNamesFilter = [
      "string"
    ]
    enabled = bool
    productFilter = "string"
    severitiesFilter = [
      "string"
    ]
  }

Pour MLBehaviorAnalytics, utilisez :

  kind = "MLBehaviorAnalytics"
  properties = {
    alertRuleTemplateName = "string"
    enabled = bool
  }

Pour NRT, utilisez :

  kind = "NRT"
  properties = {
    alertDetailsOverride = {
      alertDescriptionFormat = "string"
      alertDisplayNameFormat = "string"
      alertDynamicProperties = [
        {
          alertProperty = "string"
          value = "string"
        }
      ]
      alertSeverityColumnName = "string"
      alertTacticsColumnName = "string"
    }
    alertRuleTemplateName = "string"
    customDetails = {}
    description = "string"
    displayName = "string"
    enabled = bool
    entityMappings = [
      {
        entityType = "string"
        fieldMappings = [
          {
            columnName = "string"
            identifier = "string"
          }
        ]
      }
    ]
    eventGroupingSettings = {
      aggregationKind = "string"
    }
    incidentConfiguration = {
      createIncident = bool
      groupingConfiguration = {
        enabled = bool
        groupByAlertDetails = [
          "string"
        ]
        groupByCustomDetails = [
          "string"
        ]
        groupByEntities = [
          "string"
        ]
        lookbackDuration = "string"
        matchingMethod = "string"
        reopenClosedIncident = bool
      }
    }
    query = "string"
    sentinelEntitiesMappings = [
      {
        columnName = "string"
      }
    ]
    severity = "string"
    suppressionDuration = "string"
    suppressionEnabled = bool
    tactics = [
      "string"
    ]
    techniques = [
      "string"
    ]
    templateVersion = "string"
  }

Pour Planifié, utilisez :

  kind = "Scheduled"
  properties = {
    alertDetailsOverride = {
      alertDescriptionFormat = "string"
      alertDisplayNameFormat = "string"
      alertDynamicProperties = [
        {
          alertProperty = "string"
          value = "string"
        }
      ]
      alertSeverityColumnName = "string"
      alertTacticsColumnName = "string"
    }
    alertRuleTemplateName = "string"
    customDetails = {}
    description = "string"
    displayName = "string"
    enabled = bool
    entityMappings = [
      {
        entityType = "string"
        fieldMappings = [
          {
            columnName = "string"
            identifier = "string"
          }
        ]
      }
    ]
    eventGroupingSettings = {
      aggregationKind = "string"
    }
    incidentConfiguration = {
      createIncident = bool
      groupingConfiguration = {
        enabled = bool
        groupByAlertDetails = [
          "string"
        ]
        groupByCustomDetails = [
          "string"
        ]
        groupByEntities = [
          "string"
        ]
        lookbackDuration = "string"
        matchingMethod = "string"
        reopenClosedIncident = bool
      }
    }
    query = "string"
    queryFrequency = "string"
    queryPeriod = "string"
    sentinelEntitiesMappings = [
      {
        columnName = "string"
      }
    ]
    severity = "string"
    suppressionDuration = "string"
    suppressionEnabled = bool
    tactics = [
      "string"
    ]
    techniques = [
      "string"
    ]
    templateVersion = "string"
    triggerOperator = "string"
    triggerThreshold = int
  }

Pour ThreatIntelligence, utilisez :

  kind = "ThreatIntelligence"
  properties = {
    alertRuleTemplateName = "string"
    enabled = bool
  }

Valeurs de propriétés

alertRules

Nom Description Valeur
type Type de ressource « Microsoft.SecurityInsights/alertRules@2023-02-01-preview »
name Nom de la ressource chaîne (obligatoire)
parent_id ID de la ressource à laquelle appliquer cette ressource d’extension. chaîne (obligatoire)
kind Définir le type d’objet Fusion
MicrosoftSecurityIncidentCreation
MLBehaviorAnalytics
NRT
Planifié
ThreatIntelligence (obligatoire)
etag Etag de la ressource Azure string

FusionAlertRule

Nom Description Valeur
kind Type de règle d’alerte « Fusion » (obligatoire)
properties Propriétés de la règle d’alerte Fusion FusionAlertRuleProperties

FusionAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. chaîne (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
scenarioExclusionPatterns Configuration pour exclure des scénarios dans la détection de fusion. FusionScenarioExclusionPattern[]
sourceSettings Configuration de tous les signaux sources pris en charge dans la détection de fusion. FusionSourceSettings[]

FusionScenarioExclusionPattern

Nom Description Valeur
dateAddedInUTC DateTime lorsque le modèle d’exclusion de scénario est ajouté en UTC. chaîne (obligatoire)
exclusionPattern Modèle d’exclusion de scénario. chaîne (obligatoire)

FusionSourceSettings

Nom Description Valeur
enabled Détermine si ce signal source est activé ou désactivé dans la détection Fusion. bool (obligatoire)
sourceName Nom du signal source Fusion. Reportez-vous au modèle de règle d’alerte Fusion pour connaître les valeurs prises en charge. chaîne (obligatoire)
sourceSubTypes Configuration de tous les sous-types sources sous ce signal source consommés dans la détection de fusion. FusionSourceSubTypeSetting[]

FusionSourceSubTypeSetting

Nom Description Valeur
enabled Détermine si ce sous-type source sous le signal source est activé ou désactivé dans la détection Fusion. bool (obligatoire)
severityFilters Configuration de gravité pour un sous-type source consommé dans la détection de fusion. FusionSubTypeSeverityFilter (obligatoire)
sourceSubTypeName Nom du sous-type source sous un signal source donné dans la détection Fusion. Reportez-vous au modèle de règle d’alerte Fusion pour connaître les valeurs prises en charge. chaîne (obligatoire)

FusionSubTypeSeverityFilter

Nom Description Valeur
filtres Paramètres de configuration de gravité individuels pour un sous-type source donné consommé dans la détection Fusion. FusionSubTypeSeverityFiltersItem[]

FusionSubTypeSeverityFiltersItem

Nom Description Valeur
enabled Détermine si cette gravité est activée ou désactivée pour ce sous-type source consommé dans la détection Fusion. bool (obligatoire)
severity Gravité d’un sous-type source donné consommé dans la détection Fusion. "High"
« Information »
"Low"
« Moyen » (obligatoire)

MicrosoftSecurityIncidentCreationAlertRule

Nom Description Valeur
kind Type de règle d’alerte « MicrosoftSecurityIncidentCreation » (obligatoire)
properties Propriétés de règle MicrosoftSecurityIncidentCreation MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
description Description de la règle d’alerte. string
displayName Nom d’affichage des alertes créées par cette règle d’alerte. chaîne (obligatoire)
displayNamesExcludeFilter les displayNames des alertes sur lesquels les cas ne seront pas générés string[]
displayNamesFilter les displayNames des alertes sur lesquels les cas seront générés string[]
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
productFilter ProductName des alertes sur lequel les cas seront générés « Azure Active Directory Identity Protection »
« Azure Advanced Threat Protection »
« Azure Security Center pour IoT »
« Azure Security Center »
« Microsoft Sécurité des applications infonuagiques »
« protection avancée contre les menaces Microsoft Defender »
« Office 365 protection avancée contre les menaces » (obligatoire)
gravitésFiltre les gravités des alertes sur lesquelles les cas seront générés Tableau de chaînes contenant l’un des éléments suivants :
"High"
« Informationnel »
"Low"
« Moyen »

MLBehaviorAnalyticsAlertRule

Nom Description Valeur
kind Type de règle d’alerte « MLBehaviorAnalytics » (obligatoire)
properties Propriétés de la règle d’alerte MLBehaviorAnalytics MLBehaviorAnalyticsAlertRuleProperties

MLBehaviorAnalyticsAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)

NrtAlertRule

Nom Description Valeur
kind Type de règle d’alerte « NRT » (obligatoire)
properties Propriétés de la règle d’alerte NRT NrtAlertRuleProperties

NrtAlertRuleProperties

Nom Description Valeur
alertDetailsOverride Paramètres de remplacement des détails de l’alerte AlertDetailsOverride
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
customDetails Dictionnaire de paires clé-valeur de chaîne de colonnes à attacher à l’alerte object
description Description de la règle d’alerte. string
displayName Nom complet des alertes créées par cette règle d’alerte. string (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
entityMappings Tableau des mappages d’entités de la règle d’alerte EntityMapping[]
eventGroupingSettings Paramètres de regroupement d’événements. EventGroupingSettings
incidentConfiguration Paramètres des incidents créés à partir d’alertes déclenchées par cette règle d’analytique IncidentConfiguration
query Requête qui crée des alertes pour cette règle. string (obligatoire)
sentinelEntitiesMappings Tableau des mappages d’entités sentinel de la règle d’alerte SentinelEntityMapping[]
severity Gravité des alertes créées par cette règle d’alerte. "High"
« Informationnel »
"Low"
« Moyen » (obligatoire)
suppressionDuration Suppression (au format de durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. string (obligatoire)
suppressionEnabled Détermine si la suppression de cette règle d’alerte est activée ou désactivée. bool (obligatoire)
Tactiques Tactiques de la règle d’alerte Tableau de chaînes contenant l’un des éléments suivants :
« Collection »
« CommandAndControl »
« CredentialAccess »
« DefenseEvasion »
« Découverte »
« Exécution »
« Exfiltration »
« Impact »
« ImpairProcessControl »
« InhibitResponseFunction »
« InitialAccess »
« LateralMovement »
« Persistance »
« PreAttack »
« PrivilegeEscalation »
« Reconnaissance »
« ResourceDevelopment »
techniques Techniques de la règle d’alerte string[]
templateVersion Version du modèle de règle d’alerte utilisé pour créer cette règle - au format {a.b.c}, où tous sont des nombres, par exemple 0 {1.0.2} string

AlertDetailsOverride

Nom Description Valeur
alertDescriptionFormat format contenant les noms de colonnes pour remplacer la description de l’alerte string
alertDisplayNameFormat format contenant le ou les noms de colonnes pour remplacer le nom de l’alerte string
alertDynamicProperties Liste des propriétés dynamiques supplémentaires à remplacer AlertPropertyMapping[]
alertSeverityColumnName nom de colonne à partir duquel prendre la gravité de l’alerte string
alertTacticsColumnName nom de colonne à partir duquel prendre les tactiques d’alerte string

AlertPropertyMapping

Nom Description Valeur
alertProperty Propriété d’alerte V3 « AlertLink »
« ConfidenceLevel »
« ConfidenceScore »
« ExtendedLinks »
« ProductComponentName »
« ProductName »
« ProviderName »
« RemediationSteps »
« Techniques »
valeur nom de colonne à utiliser pour remplacer cette propriété string

EntityMapping

Nom Description Valeur
entityType Type V3 de l’entité mappée « Compte »
« AzureResource »
« CloudApplication »
« DNS »
« Fichier »
« FileHash »
« Hôte »
« IP »
« MailCluster »
« MailMessage »
« Boîte aux lettres »
« Programme malveillant »
« Processus »
« RegistryKey »
« RegistryValue »
« SecurityGroup »
« SubmissionMail »
« URL »
fieldMappings tableau de mappages de champs pour le mappage d’entité donné FieldMapping[]

FieldMapping

Nom Description Valeur
columnName nom de colonne à mapper à l’identificateur string
identificateur identificateur V3 de l’entité string

EventGroupingSettings

Nom Description Valeur
agrégationKind Types d’agrégation de regroupement d’événements « AlertPerResult »
« SingleAlert »

IncidentConfiguration

Nom Description Valeur
createIncident Créer des incidents à partir d’alertes déclenchées par cette règle d’analytique bool (obligatoire)
groupingConfiguration Définir la façon dont les alertes déclenchées par cette règle d’analytique sont regroupées en incidents GroupingConfiguration

GroupingConfiguration

Nom Description Valeur
enabled Regroupement activé bool (obligatoire)
groupByAlertDetails Liste des détails d’alerte à regrouper par (lorsque la correspondancemethod est sélectionnée) Tableau de chaînes contenant l’un des éléments suivants :
« DisplayName »
« Gravité »
groupByCustomDetails Liste des clés de détails personnalisées à regrouper par (lorsque la correspondanceMethod est sélectionnée). Seules les clés définies dans la règle d’alerte actuelle peuvent être utilisées. string[]
groupByEntities Liste des types d’entités à regrouper (lorsque matchingMethod est Sélectionné). Seules les entités définies dans la règle d’alerte actuelle peuvent être utilisées. Tableau de chaînes contenant l’un des éléments suivants :
« Compte »
« AzureResource »
« CloudApplication »
« DNS »
« Fichier »
« FileHash »
« Hôte »
« IP »
« MailCluster »
« MailMessage »
« Boîte aux lettres »
« Programme malveillant »
« Processus »
« RegistryKey »
« RegistryValue »
« SecurityGroup »
« SubmissionMail »
« URL »
lookbackDuration Limiter le groupe aux alertes créées pendant la durée de recherche en arrière (au format de durée ISO 8601) chaîne (obligatoire)
matchingMethod Méthode de correspondance de regroupement. Lorsque la méthode est Sélectionnée au moins l’une des valeurs groupByEntities, groupByAlertDetails, groupByCustomDetails doit être fourni et non vide. « AllEntities »
« AnyAlert »
« Sélectionné » (obligatoire)
rouvrirClosedIncident Rouvrir les incidents de correspondance fermés bool (obligatoire)

SentinelEntityMapping

Nom Description Valeur
columnName nom de colonne à mapper à SentinelEntities string

ScheduledAlertRule

Nom Description Valeur
kind Type de règle d’alerte « Planifié » (obligatoire)
properties Propriétés de règle d’alerte planifiée ScheduledAlertRuleProperties

ScheduledAlertRuleProperties

Nom Description Valeur
alertDetailsOverride Paramètres de remplacement des détails de l’alerte AlertDetailsOverride
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. string
customDetails Dictionnaire des paires clé-valeur de chaîne de colonnes à attacher à l’alerte object
description Description de la règle d’alerte. string
displayName Nom d’affichage des alertes créées par cette règle d’alerte. chaîne (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)
entityMappings Tableau des mappages d’entités de la règle d’alerte EntityMapping[]
eventGroupingSettings Paramètres de regroupement d’événements. EventGroupingSettings
incidentConfiguration Paramètres des incidents créés à partir d’alertes déclenchées par cette règle d’analytique IncidentConfiguration
query Requête qui crée des alertes pour cette règle. string
queryFrequency Fréquence (au format de durée ISO 8601) pour l’exécution de cette règle d’alerte. string
queryPeriod Période (au format durée ISO 8601) que cette règle d’alerte examine. string
sentinelEntitiesMappings Tableau des mappages d’entités sentinelles de la règle d’alerte SentinelEntityMapping[]
severity Gravité des alertes créées par cette règle d’alerte. "High"
« Information »
"Low"
« Moyen »
suppressionDuration Suppression (au format durée ISO 8601) à attendre depuis le dernier déclenchement de cette règle d’alerte. chaîne (obligatoire)
suppressionEnabled Détermine si la suppression de cette règle d’alerte est activée ou désactivée. bool (obligatoire)
Tactiques Tactiques de la règle d’alerte Tableau de chaînes contenant l’un des éléments suivants :
« Collection »
« CommandAndControl »
« CredentialAccess »
« DefenseEvasion »
« Découverte »
« Exécution »
« Exfiltration »
« Impact »
« ImpairProcessControl »
« InhibitResponseFunction »
« InitialAccess »
« LateralMovement »
« Persistance »
« PreAttack »
« PrivilegeEscalation »
« Reconnaissance »
« ResourceDevelopment »
techniques Techniques de la règle d’alerte string[]
templateVersion Version du modèle de règle d’alerte utilisé pour créer cette règle - au format {a.b.c}, où tous sont des nombres, par exemple 0 {1.0.2} string
triggerOperator Opération par rapport au seuil qui déclenche la règle d’alerte. « Égal »
« GreaterThan »
« LessThan »
« NotEqual »
triggerThreshold Le seuil déclenche cette règle d’alerte. int

ThreatIntelligenceAlertRule

Nom Description Valeur
kind Type de règle d’alerte « ThreatIntelligence » (obligatoire)
properties Propriétés de la règle d’alerte Threat Intelligence ThreatIntelligenceAlertRuleProperties

ThreatIntelligenceAlertRuleProperties

Nom Description Valeur
alertRuleTemplateName Nom du modèle de règle d’alerte utilisé pour créer cette règle. chaîne (obligatoire)
enabled Détermine si cette règle d’alerte est activée ou désactivée. bool (obligatoire)