Microsoft.SecurityInsights automationRules
- dernière
- 2024-10-01-preview
- 2024-09-01
- 2024-04-01-preview
- 2024-03-01
- 2024-01-01-preview
- 2023-12-01-preview
- 2023-11-01
- 2023-10-01-preview
- 2023-09-01-preview
- 2023-08-01-preview
- 2023-07-01-preview
- 2023-06-01-preview
- 2023-05-01-preview
- 2023-04-01-preview
- 2023-03-01-preview
- 2023-02-01
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2019-01-01-preview
Définition de ressource Bicep
Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.SecurityInsights/automationRules@2024-10-01-preview' = {
scope: resourceSymbolicName or scope
etag: 'string'
name: 'string'
properties: {
actions: [
{
order: int
actionType: 'string'
// For remaining properties, see AutomationRuleAction objects
}
]
displayName: 'string'
order: int
triggeringLogic: {
conditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc: 'string'
isEnabled: bool
triggersOn: 'string'
triggersWhen: 'string'
}
}
}
Objets AutomationRuleCondition
Définissez la propriété conditionType
Pour booléen, utilisez :
{
conditionProperties: {
innerConditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
operator: 'string'
}
conditionType: 'Boolean'
}
Pour propriété, utilisez :
{
conditionProperties: {
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
conditionType: 'Property'
}
Pour PropertyArray, utilisez :
{
conditionProperties: {
arrayConditionType: 'string'
arrayType: 'string'
itemConditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
}
conditionType: 'PropertyArray'
}
Pour PropertyArrayChanged, utilisez :
{
conditionProperties: {
arrayType: 'string'
changeType: 'string'
}
conditionType: 'PropertyArrayChanged'
}
Pour PropertyChanged, utilisez :
{
conditionProperties: {
changeType: 'string'
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
conditionType: 'PropertyChanged'
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour addIncidentTask, utilisez :
{
actionConfiguration: {
description: 'string'
title: 'string'
}
actionType: 'AddIncidentTask'
}
Pour ModifyProperties, utilisez :
{
actionConfiguration: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
labels: [
{
labelName: 'string'
}
]
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
ownerType: 'string'
userPrincipalName: 'string'
}
severity: 'string'
status: 'string'
}
actionType: 'ModifyProperties'
}
Pour RunPlaybook, utilisez :
{
actionConfiguration: {
logicAppResourceId: 'string'
tenantId: 'string'
}
actionType: 'RunPlaybook'
}
Valeurs de propriété
AddIncidentTaskActionProperties
| Nom | Description | Valeur |
|---|---|---|
| description | Description de la tâche. | corde |
| titre | Titre de la tâche. | chaîne (obligatoire) |
AutomationRuleAction
| Nom | Description | Valeur |
|---|---|---|
| actionType | Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. | 'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obligatoire) |
| commande | int (obligatoire) |
AutomationRuleAddIncidentTaskAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | AddIncidentTaskActionProperties | |
| actionType | Type de l’action de règle Automation. | 'AddIncidentTask' (obligatoire) |
AutomationRuleBooleanCondition
| Nom | Description | Valeur |
|---|---|---|
| innerConditions | AutomationRuleCondition[] | |
| opérateur | 'And' 'Or' |
AutomationRuleCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionType | Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties. | 'Boolean' 'Property' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obligatoire) |
AutomationRuleModifyPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | incidentPropertiesAction | |
| actionType | Type de l’action de règle Automation. | 'ModifyProperties' (obligatoire) |
AutomationRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| Actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée. | AutomationRuleAction[] (obligatoire) |
| displayName | Nom complet de la règle Automation. | corde Contraintes: Longueur maximale = 500 (obligatoire) |
| commande | Ordre d’exécution de la règle d’automatisation. | Int Contraintes: Valeur minimale = 1 Valeur maximale = 1 000 (obligatoire) |
| triggeringLogic | Décrit la logique de déclenchement de règle d’automatisation. | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRulePropertyArrayChangedValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| arrayType | 'Alertes' 'Comments' 'Étiquettes' 'Tactics' |
|
| changeType | 'Added' |
AutomationRulePropertyArrayValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| arrayConditionType | 'AllItems' 'AnyItem' |
|
| arrayType | 'CustomDetails' 'CustomDetailValues' 'IncidentLabels' |
|
| itemConditions | AutomationRuleCondition[] |
AutomationRulePropertyValuesChangedCondition
| Nom | Description | Valeur |
|---|---|---|
| changeType | 'ChangedFrom' 'ChangedTo' |
|
| opérateur | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | 'IncidentOwner' 'IncidentSeverity' 'IncidentStatus' |
|
| propertyValues | string[] |
AutomationRulePropertyValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| opérateur | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | Propriété à évaluer dans une condition de propriété de règle Automation. | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | string[] |
AutomationRuleRunPlaybookAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | PlaybookActionProperties | |
| actionType | Type de l’action de règle Automation. | 'RunPlaybook' (obligatoire) |
AutomationRuleTriggeringLogic
| Nom | Description | Valeur |
|---|---|---|
| conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. | AutomationRuleCondition[] |
| expirationTimeUtc | Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. | corde |
| isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
| triggersOn | 'Alertes' « Incidents » (obligatoire) |
|
| triggersWhen | 'Créé' 'Mise à jour' (obligatoire) |
BooleanConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRuleBooleanCondition | |
| conditionType | 'Boolean' (obligatoire) |
IncidentLabel
| Nom | Description | Valeur |
|---|---|---|
| labelName | Nom de l’étiquette | chaîne (obligatoire) |
IncidentOwnerInfo
| Nom | Description | Valeur |
|---|---|---|
| assignedTo | Nom de l’utilisateur auquel l’incident est affecté. | corde |
| Messagerie électronique | E-mail de l’utilisateur auquel l’incident est affecté. | corde |
| objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ownerType | Type du propriétaire auquel l’incident est affecté. | 'Groupe' 'Inconnu' 'User' |
| userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | corde |
IncidentPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| classification | La raison pour laquelle l’incident a été fermé | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Indéterminé' |
| classificationComment | Décrit la raison pour laquelle l’incident a été fermé. | corde |
| classificationReason | La raison de classification avec laquelle l’incident a été fermé | 'IncorrectData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspectButExpected' |
| Étiquettes | Liste des étiquettes à ajouter à l’incident. | IncidentLabel [] |
| propriétaire | Informations sur l’utilisateur auquel un incident est affecté | incidentOwnerInfo |
| sévérité | Gravité de l’incident | 'High' 'Informational' 'Low' 'Medium' |
| statut | État de l’incident | 'Actif' 'Fermé' 'Nouveau' |
Microsoft.SecurityInsights/automationRules
| Nom | Description | Valeur |
|---|---|---|
| etag | Etag de la ressource Azure | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| Propriétés | Propriétés de règle Automation | AutomationRuleProperties (obligatoire) |
| portée | Utilisez-la lors de la création d’une ressource dans une étendue différente de l’étendue de déploiement. | Définissez cette propriété sur le nom symbolique d’une ressource pour appliquer la ressource d’extension . |
PlaybookActionProperties
| Nom | Description | Valeur |
|---|---|---|
| logicAppResourceId | ID de ressource de la ressource playbook. | chaîne (obligatoire) |
| tenantId | ID de locataire de la ressource playbook. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| conditionType | 'PropertyArrayChanged' (obligatoire) |
PropertyArrayConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayValuesCondition | |
| conditionType | 'PropertyArray' (obligatoire) |
PropertyChangedConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| conditionType | 'PropertyChanged' (obligatoire) |
PropertyConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| conditionType | 'Property' (obligatoire) |
Définition de ressource de modèle ARM
Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.SecurityInsights/automationRules",
"apiVersion": "2024-10-01-preview",
"name": "string",
"etag": "string",
"properties": {
"actions": [ {
"order": "int",
"actionType": "string"
// For remaining properties, see AutomationRuleAction objects
} ],
"displayName": "string",
"order": "int",
"triggeringLogic": {
"conditions": [ {
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
} ],
"expirationTimeUtc": "string",
"isEnabled": "bool",
"triggersOn": "string",
"triggersWhen": "string"
}
}
}
Objets AutomationRuleCondition
Définissez la propriété conditionType
Pour booléen, utilisez :
{
"conditionProperties": {
"innerConditions": [ {
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
} ],
"operator": "string"
},
"conditionType": "Boolean"
}
Pour propriété, utilisez :
{
"conditionProperties": {
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
},
"conditionType": "Property"
}
Pour PropertyArray, utilisez :
{
"conditionProperties": {
"arrayConditionType": "string",
"arrayType": "string",
"itemConditions": [ {
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
} ]
},
"conditionType": "PropertyArray"
}
Pour PropertyArrayChanged, utilisez :
{
"conditionProperties": {
"arrayType": "string",
"changeType": "string"
},
"conditionType": "PropertyArrayChanged"
}
Pour PropertyChanged, utilisez :
{
"conditionProperties": {
"changeType": "string",
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
},
"conditionType": "PropertyChanged"
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour addIncidentTask, utilisez :
{
"actionConfiguration": {
"description": "string",
"title": "string"
},
"actionType": "AddIncidentTask"
}
Pour ModifyProperties, utilisez :
{
"actionConfiguration": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"labels": [
{
"labelName": "string"
}
],
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"ownerType": "string",
"userPrincipalName": "string"
},
"severity": "string",
"status": "string"
},
"actionType": "ModifyProperties"
}
Pour RunPlaybook, utilisez :
{
"actionConfiguration": {
"logicAppResourceId": "string",
"tenantId": "string"
},
"actionType": "RunPlaybook"
}
Valeurs de propriété
AddIncidentTaskActionProperties
| Nom | Description | Valeur |
|---|---|---|
| description | Description de la tâche. | corde |
| titre | Titre de la tâche. | chaîne (obligatoire) |
AutomationRuleAction
| Nom | Description | Valeur |
|---|---|---|
| actionType | Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. | 'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obligatoire) |
| commande | int (obligatoire) |
AutomationRuleAddIncidentTaskAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | AddIncidentTaskActionProperties | |
| actionType | Type de l’action de règle Automation. | 'AddIncidentTask' (obligatoire) |
AutomationRuleBooleanCondition
| Nom | Description | Valeur |
|---|---|---|
| innerConditions | AutomationRuleCondition[] | |
| opérateur | 'And' 'Or' |
AutomationRuleCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionType | Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties. | 'Boolean' 'Property' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obligatoire) |
AutomationRuleModifyPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | incidentPropertiesAction | |
| actionType | Type de l’action de règle Automation. | 'ModifyProperties' (obligatoire) |
AutomationRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| Actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée. | AutomationRuleAction[] (obligatoire) |
| displayName | Nom complet de la règle Automation. | corde Contraintes: Longueur maximale = 500 (obligatoire) |
| commande | Ordre d’exécution de la règle d’automatisation. | Int Contraintes: Valeur minimale = 1 Valeur maximale = 1 000 (obligatoire) |
| triggeringLogic | Décrit la logique de déclenchement de règle d’automatisation. | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRulePropertyArrayChangedValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| arrayType | 'Alertes' 'Comments' 'Étiquettes' 'Tactics' |
|
| changeType | 'Added' |
AutomationRulePropertyArrayValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| arrayConditionType | 'AllItems' 'AnyItem' |
|
| arrayType | 'CustomDetails' 'CustomDetailValues' 'IncidentLabels' |
|
| itemConditions | AutomationRuleCondition[] |
AutomationRulePropertyValuesChangedCondition
| Nom | Description | Valeur |
|---|---|---|
| changeType | 'ChangedFrom' 'ChangedTo' |
|
| opérateur | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | 'IncidentOwner' 'IncidentSeverity' 'IncidentStatus' |
|
| propertyValues | string[] |
AutomationRulePropertyValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| opérateur | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | Propriété à évaluer dans une condition de propriété de règle Automation. | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | string[] |
AutomationRuleRunPlaybookAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | PlaybookActionProperties | |
| actionType | Type de l’action de règle Automation. | 'RunPlaybook' (obligatoire) |
AutomationRuleTriggeringLogic
| Nom | Description | Valeur |
|---|---|---|
| conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. | AutomationRuleCondition[] |
| expirationTimeUtc | Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. | corde |
| isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
| triggersOn | 'Alertes' « Incidents » (obligatoire) |
|
| triggersWhen | 'Créé' 'Mise à jour' (obligatoire) |
BooleanConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRuleBooleanCondition | |
| conditionType | 'Boolean' (obligatoire) |
IncidentLabel
| Nom | Description | Valeur |
|---|---|---|
| labelName | Nom de l’étiquette | chaîne (obligatoire) |
IncidentOwnerInfo
| Nom | Description | Valeur |
|---|---|---|
| assignedTo | Nom de l’utilisateur auquel l’incident est affecté. | corde |
| Messagerie électronique | E-mail de l’utilisateur auquel l’incident est affecté. | corde |
| objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ownerType | Type du propriétaire auquel l’incident est affecté. | 'Groupe' 'Inconnu' 'User' |
| userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | corde |
IncidentPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| classification | La raison pour laquelle l’incident a été fermé | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Indéterminé' |
| classificationComment | Décrit la raison pour laquelle l’incident a été fermé. | corde |
| classificationReason | La raison de classification avec laquelle l’incident a été fermé | 'IncorrectData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspectButExpected' |
| Étiquettes | Liste des étiquettes à ajouter à l’incident. | IncidentLabel [] |
| propriétaire | Informations sur l’utilisateur auquel un incident est affecté | incidentOwnerInfo |
| sévérité | Gravité de l’incident | 'High' 'Informational' 'Low' 'Medium' |
| statut | État de l’incident | 'Actif' 'Fermé' 'Nouveau' |
Microsoft.SecurityInsights/automationRules
| Nom | Description | Valeur |
|---|---|---|
| apiVersion | Version de l’API | '2024-10-01-preview' |
| etag | Etag de la ressource Azure | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| Propriétés | Propriétés de règle Automation | AutomationRuleProperties (obligatoire) |
| type | Type de ressource | 'Microsoft.SecurityInsights/automationRules' |
PlaybookActionProperties
| Nom | Description | Valeur |
|---|---|---|
| logicAppResourceId | ID de ressource de la ressource playbook. | chaîne (obligatoire) |
| tenantId | ID de locataire de la ressource playbook. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| conditionType | 'PropertyArrayChanged' (obligatoire) |
PropertyArrayConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayValuesCondition | |
| conditionType | 'PropertyArray' (obligatoire) |
PropertyChangedConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| conditionType | 'PropertyChanged' (obligatoire) |
PropertyConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| conditionType | 'Property' (obligatoire) |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
| Modèle | Description |
|---|---|
Crée une règle Microsoft Sentinel Automation
|
Cet exemple montre comment créer une règle d’automatisation dans Microsoft Sentinel |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/automationRules@2024-10-01-preview"
name = "string"
parent_id = "string"
etag = "string"
body = jsonencode({
properties = {
actions = [
{
order = int
actionType = "string"
// For remaining properties, see AutomationRuleAction objects
}
]
displayName = "string"
order = int
triggeringLogic = {
conditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc = "string"
isEnabled = bool
triggersOn = "string"
triggersWhen = "string"
}
}
})
}
Objets AutomationRuleCondition
Définissez la propriété conditionType
Pour booléen, utilisez :
{
conditionProperties = {
innerConditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
operator = "string"
}
conditionType = "Boolean"
}
Pour propriété, utilisez :
{
conditionProperties = {
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
conditionType = "Property"
}
Pour PropertyArray, utilisez :
{
conditionProperties = {
arrayConditionType = "string"
arrayType = "string"
itemConditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
}
conditionType = "PropertyArray"
}
Pour PropertyArrayChanged, utilisez :
{
conditionProperties = {
arrayType = "string"
changeType = "string"
}
conditionType = "PropertyArrayChanged"
}
Pour PropertyChanged, utilisez :
{
conditionProperties = {
changeType = "string"
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
conditionType = "PropertyChanged"
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour addIncidentTask, utilisez :
{
actionConfiguration = {
description = "string"
title = "string"
}
actionType = "AddIncidentTask"
}
Pour ModifyProperties, utilisez :
{
actionConfiguration = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
labels = [
{
labelName = "string"
}
]
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
ownerType = "string"
userPrincipalName = "string"
}
severity = "string"
status = "string"
}
actionType = "ModifyProperties"
}
Pour RunPlaybook, utilisez :
{
actionConfiguration = {
logicAppResourceId = "string"
tenantId = "string"
}
actionType = "RunPlaybook"
}
Valeurs de propriété
AddIncidentTaskActionProperties
| Nom | Description | Valeur |
|---|---|---|
| description | Description de la tâche. | corde |
| titre | Titre de la tâche. | chaîne (obligatoire) |
AutomationRuleAction
| Nom | Description | Valeur |
|---|---|---|
| actionType | Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. | 'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obligatoire) |
| commande | int (obligatoire) |
AutomationRuleAddIncidentTaskAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | AddIncidentTaskActionProperties | |
| actionType | Type de l’action de règle Automation. | 'AddIncidentTask' (obligatoire) |
AutomationRuleBooleanCondition
| Nom | Description | Valeur |
|---|---|---|
| innerConditions | AutomationRuleCondition[] | |
| opérateur | 'And' 'Or' |
AutomationRuleCondition
| Nom | Description | Valeur |
|---|---|---|
| conditionType | Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties. | 'Boolean' 'Property' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obligatoire) |
AutomationRuleModifyPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | incidentPropertiesAction | |
| actionType | Type de l’action de règle Automation. | 'ModifyProperties' (obligatoire) |
AutomationRuleProperties
| Nom | Description | Valeur |
|---|---|---|
| Actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée. | AutomationRuleAction[] (obligatoire) |
| displayName | Nom complet de la règle Automation. | corde Contraintes: Longueur maximale = 500 (obligatoire) |
| commande | Ordre d’exécution de la règle d’automatisation. | Int Contraintes: Valeur minimale = 1 Valeur maximale = 1 000 (obligatoire) |
| triggeringLogic | Décrit la logique de déclenchement de règle d’automatisation. | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRulePropertyArrayChangedValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| arrayType | 'Alertes' 'Comments' 'Étiquettes' 'Tactics' |
|
| changeType | 'Added' |
AutomationRulePropertyArrayValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| arrayConditionType | 'AllItems' 'AnyItem' |
|
| arrayType | 'CustomDetails' 'CustomDetailValues' 'IncidentLabels' |
|
| itemConditions | AutomationRuleCondition[] |
AutomationRulePropertyValuesChangedCondition
| Nom | Description | Valeur |
|---|---|---|
| changeType | 'ChangedFrom' 'ChangedTo' |
|
| opérateur | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | 'IncidentOwner' 'IncidentSeverity' 'IncidentStatus' |
|
| propertyValues | string[] |
AutomationRulePropertyValuesCondition
| Nom | Description | Valeur |
|---|---|---|
| opérateur | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | Propriété à évaluer dans une condition de propriété de règle Automation. | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | string[] |
AutomationRuleRunPlaybookAction
| Nom | Description | Valeur |
|---|---|---|
| actionConfiguration | PlaybookActionProperties | |
| actionType | Type de l’action de règle Automation. | 'RunPlaybook' (obligatoire) |
AutomationRuleTriggeringLogic
| Nom | Description | Valeur |
|---|---|---|
| conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. | AutomationRuleCondition[] |
| expirationTimeUtc | Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. | corde |
| isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
| triggersOn | 'Alertes' « Incidents » (obligatoire) |
|
| triggersWhen | 'Créé' 'Mise à jour' (obligatoire) |
BooleanConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRuleBooleanCondition | |
| conditionType | 'Boolean' (obligatoire) |
IncidentLabel
| Nom | Description | Valeur |
|---|---|---|
| labelName | Nom de l’étiquette | chaîne (obligatoire) |
IncidentOwnerInfo
| Nom | Description | Valeur |
|---|---|---|
| assignedTo | Nom de l’utilisateur auquel l’incident est affecté. | corde |
| Messagerie électronique | E-mail de l’utilisateur auquel l’incident est affecté. | corde |
| objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ownerType | Type du propriétaire auquel l’incident est affecté. | 'Groupe' 'Inconnu' 'User' |
| userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | corde |
IncidentPropertiesAction
| Nom | Description | Valeur |
|---|---|---|
| classification | La raison pour laquelle l’incident a été fermé | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Indéterminé' |
| classificationComment | Décrit la raison pour laquelle l’incident a été fermé. | corde |
| classificationReason | La raison de classification avec laquelle l’incident a été fermé | 'IncorrectData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspectButExpected' |
| Étiquettes | Liste des étiquettes à ajouter à l’incident. | IncidentLabel [] |
| propriétaire | Informations sur l’utilisateur auquel un incident est affecté | incidentOwnerInfo |
| sévérité | Gravité de l’incident | 'High' 'Informational' 'Low' 'Medium' |
| statut | État de l’incident | 'Actif' 'Fermé' 'Nouveau' |
Microsoft.SecurityInsights/automationRules
| Nom | Description | Valeur |
|---|---|---|
| etag | Etag de la ressource Azure | corde |
| nom | Nom de la ressource | chaîne (obligatoire) |
| parent_id | ID de la ressource à laquelle appliquer cette ressource d’extension. | chaîne (obligatoire) |
| Propriétés | Propriétés de règle Automation | AutomationRuleProperties (obligatoire) |
| type | Type de ressource | « Microsoft.SecurityInsights/automationRules@2024-10-01-preview » |
PlaybookActionProperties
| Nom | Description | Valeur |
|---|---|---|
| logicAppResourceId | ID de ressource de la ressource playbook. | chaîne (obligatoire) |
| tenantId | ID de locataire de la ressource playbook. | corde Contraintes: Longueur minimale = 36 Longueur maximale = 36 Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| conditionType | 'PropertyArrayChanged' (obligatoire) |
PropertyArrayConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayValuesCondition | |
| conditionType | 'PropertyArray' (obligatoire) |
PropertyChangedConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| conditionType | 'PropertyChanged' (obligatoire) |
PropertyConditionProperties
| Nom | Description | Valeur |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| conditionType | 'Property' (obligatoire) |