Partager via


Microsoft.SecurityInsights automationRules

Définition de ressource Bicep

Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le bicep suivant à votre modèle.

resource symbolicname 'Microsoft.SecurityInsights/automationRules@2024-10-01-preview' = {
  scope: resourceSymbolicName or scope
  etag: 'string'
  name: 'string'
  properties: {
    actions: [
      {
        order: int
        actionType: 'string'
        // For remaining properties, see AutomationRuleAction objects
      }
    ]
    displayName: 'string'
    order: int
    triggeringLogic: {
      conditions: [
        {
          conditionType: 'string'
          // For remaining properties, see AutomationRuleCondition objects
        }
      ]
      expirationTimeUtc: 'string'
      isEnabled: bool
      triggersOn: 'string'
      triggersWhen: 'string'
    }
  }
}

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour booléen, utilisez :

{
  conditionProperties: {
    innerConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator: 'string'
  }
  conditionType: 'Boolean'
}

Pour propriété, utilisez :

{
  conditionProperties: {
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }
  conditionType: 'Property'
}

Pour PropertyArray, utilisez :

{
  conditionProperties: {
    arrayConditionType: 'string'
    arrayType: 'string'
    itemConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }
  conditionType: 'PropertyArray'
}

Pour PropertyArrayChanged, utilisez :

{
  conditionProperties: {
    arrayType: 'string'
    changeType: 'string'
  }
  conditionType: 'PropertyArrayChanged'
}

Pour PropertyChanged, utilisez :

{
  conditionProperties: {
    changeType: 'string'
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }
  conditionType: 'PropertyChanged'
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour addIncidentTask, utilisez :

{
  actionConfiguration: {
    description: 'string'
    title: 'string'
  }
  actionType: 'AddIncidentTask'
}

Pour ModifyProperties, utilisez :

{
  actionConfiguration: {
    classification: 'string'
    classificationComment: 'string'
    classificationReason: 'string'
    labels: [
      {
        labelName: 'string'
      }
    ]
    owner: {
      assignedTo: 'string'
      email: 'string'
      objectId: 'string'
      ownerType: 'string'
      userPrincipalName: 'string'
    }
    severity: 'string'
    status: 'string'
  }
  actionType: 'ModifyProperties'
}

Pour RunPlaybook, utilisez :

{
  actionConfiguration: {
    logicAppResourceId: 'string'
    tenantId: 'string'
  }
  actionType: 'RunPlaybook'
}

Valeurs de propriété

AddIncidentTaskActionProperties

Nom Description Valeur
description Description de la tâche. corde
titre Titre de la tâche. chaîne (obligatoire)

AutomationRuleAction

Nom Description Valeur
actionType Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. 'AddIncidentTask'
'ModifyProperties'
'RunPlaybook' (obligatoire)
commande int (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom Description Valeur
actionConfiguration AddIncidentTaskActionProperties
actionType Type de l’action de règle Automation. 'AddIncidentTask' (obligatoire)

AutomationRuleBooleanCondition

Nom Description Valeur
innerConditions AutomationRuleCondition[]
opérateur 'And'
'Or'

AutomationRuleCondition

Nom Description Valeur
conditionType Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties. 'Boolean'
'Property'
'PropertyArray'
'PropertyArrayChanged'
'PropertyChanged' (obligatoire)

AutomationRuleModifyPropertiesAction

Nom Description Valeur
actionConfiguration incidentPropertiesAction
actionType Type de l’action de règle Automation. 'ModifyProperties' (obligatoire)

AutomationRuleProperties

Nom Description Valeur
Actions Actions à exécuter lorsque la règle d’automatisation est déclenchée. AutomationRuleAction[] (obligatoire)
displayName Nom complet de la règle Automation. corde

Contraintes:
Longueur maximale = 500 (obligatoire)
commande Ordre d’exécution de la règle d’automatisation. Int

Contraintes:
Valeur minimale = 1
Valeur maximale = 1 000 (obligatoire)
triggeringLogic Décrit la logique de déclenchement de règle d’automatisation. AutomationRuleTriggeringLogic (obligatoire)

AutomationRulePropertyArrayChangedValuesCondition

Nom Description Valeur
arrayType 'Alertes'
'Comments'
'Étiquettes'
'Tactics'
changeType 'Added'

AutomationRulePropertyArrayValuesCondition

Nom Description Valeur
arrayConditionType 'AllItems'
'AnyItem'
arrayType 'CustomDetails'
'CustomDetailValues'
'IncidentLabels'
itemConditions AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Nom Description Valeur
changeType 'ChangedFrom'
'ChangedTo'
opérateur 'Contains'
'EndsWith'
'Equals'
'NotContains'
'NotEndsWith'
'NotEquals'
'NotStartsWith'
'StartsWith'
propertyName 'IncidentOwner'
'IncidentSeverity'
'IncidentStatus'
propertyValues string[]

AutomationRulePropertyValuesCondition

Nom Description Valeur
opérateur 'Contains'
'EndsWith'
'Equals'
'NotContains'
'NotEndsWith'
'NotEquals'
'NotStartsWith'
'StartsWith'
propertyName Propriété à évaluer dans une condition de propriété de règle Automation. 'AccountAadTenantId'
'AccountAadUserId'
'AccountName'
'AccountNTDomain'
'AccountObjectGuid'
'AccountPUID'
'AccountSid'
'AccountUPNSuffix'
'AlertAnalyticRuleIds'
'AlertProductNames'
'AzureResourceResourceId'
'AzureResourceSubscriptionId'
'CloudApplicationAppId'
'CloudApplicationAppName'
'DNSDomainName'
'FileDirectory'
'FileHashValue'
'FileName'
'HostAzureID'
'HostName'
'HostNetBiosName'
'HostNTDomain'
'HostOSVersion'
'IncidentCustomDetailsKey'
'IncidentCustomDetailsValue'
'IncidentDescription'
'IncidentLabel'
'IncidentProviderName'
'IncidentRelatedAnalyticRuleIds'
'IncidentSeverity'
'IncidentStatus'
'IncidentTactics'
'IncidentTitle'
'IncidentUpdatedBySource'
'IoTDeviceId'
'IoTDeviceModel'
'IoTDeviceName'
'IoTDeviceOperatingSystem'
'IoTDeviceType'
'IoTDeviceVendor'
'IPAddress'
'MailboxDisplayName'
'MailboxPrimaryAddress'
'MailboxUPN'
'MailMessageDeliveryAction'
'MailMessageDeliveryLocation'
'MailMessageP1Sender'
'MailMessageP2Sender'
'MailMessageRecipient'
'MailMessageSenderIP'
'MailMessageSubject'
'MalwareCategory'
'MalwareName'
'ProcessCommandLine'
'ProcessId'
'RegistryKey'
'RegistryValueData'
'Url'
propertyValues string[]

AutomationRuleRunPlaybookAction

Nom Description Valeur
actionConfiguration PlaybookActionProperties
actionType Type de l’action de règle Automation. 'RunPlaybook' (obligatoire)

AutomationRuleTriggeringLogic

Nom Description Valeur
conditions Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. AutomationRuleCondition[]
expirationTimeUtc Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. corde
isEnabled Détermine si la règle d’automatisation est activée ou désactivée. bool (obligatoire)
triggersOn 'Alertes'
« Incidents » (obligatoire)
triggersWhen 'Créé'
'Mise à jour' (obligatoire)

BooleanConditionProperties

Nom Description Valeur
conditionProperties AutomationRuleBooleanCondition
conditionType 'Boolean' (obligatoire)

IncidentLabel

Nom Description Valeur
labelName Nom de l’étiquette chaîne (obligatoire)

IncidentOwnerInfo

Nom Description Valeur
assignedTo Nom de l’utilisateur auquel l’incident est affecté. corde
Messagerie électronique E-mail de l’utilisateur auquel l’incident est affecté. corde
objectId ID d’objet de l’utilisateur auquel l’incident est affecté. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType Type du propriétaire auquel l’incident est affecté. 'Groupe'
'Inconnu'
'User'
userPrincipalName Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. corde

IncidentPropertiesAction

Nom Description Valeur
classification La raison pour laquelle l’incident a été fermé 'BenignPositive'
'FalsePositive'
'TruePositive'
'Indéterminé'
classificationComment Décrit la raison pour laquelle l’incident a été fermé. corde
classificationReason La raison de classification avec laquelle l’incident a été fermé 'IncorrectData'
'IncorrectAlertLogic'
'SuspiciousActivity'
'SuspectButExpected'
Étiquettes Liste des étiquettes à ajouter à l’incident. IncidentLabel []
propriétaire Informations sur l’utilisateur auquel un incident est affecté incidentOwnerInfo
sévérité Gravité de l’incident 'High'
'Informational'
'Low'
'Medium'
statut État de l’incident 'Actif'
'Fermé'
'Nouveau'

Microsoft.SecurityInsights/automationRules

Nom Description Valeur
etag Etag de la ressource Azure corde
nom Nom de la ressource chaîne (obligatoire)
Propriétés Propriétés de règle Automation AutomationRuleProperties (obligatoire)
portée Utilisez-la lors de la création d’une ressource dans une étendue différente de l’étendue de déploiement. Définissez cette propriété sur le nom symbolique d’une ressource pour appliquer la ressource d’extension .

PlaybookActionProperties

Nom Description Valeur
logicAppResourceId ID de ressource de la ressource playbook. chaîne (obligatoire)
tenantId ID de locataire de la ressource playbook. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyArrayChangedValuesCondition
conditionType 'PropertyArrayChanged' (obligatoire)

PropertyArrayConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyArrayValuesCondition
conditionType 'PropertyArray' (obligatoire)

PropertyChangedConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyValuesChangedCondition
conditionType 'PropertyChanged' (obligatoire)

PropertyConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyValuesCondition
conditionType 'Property' (obligatoire)

Définition de ressource de modèle ARM

Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le code JSON suivant à votre modèle.

{
  "type": "Microsoft.SecurityInsights/automationRules",
  "apiVersion": "2024-10-01-preview",
  "name": "string",
  "etag": "string",
  "properties": {
    "actions": [ {
      "order": "int",
      "actionType": "string"
      // For remaining properties, see AutomationRuleAction objects
    } ],
    "displayName": "string",
    "order": "int",
    "triggeringLogic": {
      "conditions": [ {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      } ],
      "expirationTimeUtc": "string",
      "isEnabled": "bool",
      "triggersOn": "string",
      "triggersWhen": "string"
    }
  }
}

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour booléen, utilisez :

{
  "conditionProperties": {
    "innerConditions": [ {
      "conditionType": "string"
      // For remaining properties, see AutomationRuleCondition objects
    } ],
    "operator": "string"
  },
  "conditionType": "Boolean"
}

Pour propriété, utilisez :

{
  "conditionProperties": {
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  },
  "conditionType": "Property"
}

Pour PropertyArray, utilisez :

{
  "conditionProperties": {
    "arrayConditionType": "string",
    "arrayType": "string",
    "itemConditions": [ {
      "conditionType": "string"
      // For remaining properties, see AutomationRuleCondition objects
    } ]
  },
  "conditionType": "PropertyArray"
}

Pour PropertyArrayChanged, utilisez :

{
  "conditionProperties": {
    "arrayType": "string",
    "changeType": "string"
  },
  "conditionType": "PropertyArrayChanged"
}

Pour PropertyChanged, utilisez :

{
  "conditionProperties": {
    "changeType": "string",
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  },
  "conditionType": "PropertyChanged"
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour addIncidentTask, utilisez :

{
  "actionConfiguration": {
    "description": "string",
    "title": "string"
  },
  "actionType": "AddIncidentTask"
}

Pour ModifyProperties, utilisez :

{
  "actionConfiguration": {
    "classification": "string",
    "classificationComment": "string",
    "classificationReason": "string",
    "labels": [
      {
        "labelName": "string"
      }
    ],
    "owner": {
      "assignedTo": "string",
      "email": "string",
      "objectId": "string",
      "ownerType": "string",
      "userPrincipalName": "string"
    },
    "severity": "string",
    "status": "string"
  },
  "actionType": "ModifyProperties"
}

Pour RunPlaybook, utilisez :

{
  "actionConfiguration": {
    "logicAppResourceId": "string",
    "tenantId": "string"
  },
  "actionType": "RunPlaybook"
}

Valeurs de propriété

AddIncidentTaskActionProperties

Nom Description Valeur
description Description de la tâche. corde
titre Titre de la tâche. chaîne (obligatoire)

AutomationRuleAction

Nom Description Valeur
actionType Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. 'AddIncidentTask'
'ModifyProperties'
'RunPlaybook' (obligatoire)
commande int (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom Description Valeur
actionConfiguration AddIncidentTaskActionProperties
actionType Type de l’action de règle Automation. 'AddIncidentTask' (obligatoire)

AutomationRuleBooleanCondition

Nom Description Valeur
innerConditions AutomationRuleCondition[]
opérateur 'And'
'Or'

AutomationRuleCondition

Nom Description Valeur
conditionType Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties. 'Boolean'
'Property'
'PropertyArray'
'PropertyArrayChanged'
'PropertyChanged' (obligatoire)

AutomationRuleModifyPropertiesAction

Nom Description Valeur
actionConfiguration incidentPropertiesAction
actionType Type de l’action de règle Automation. 'ModifyProperties' (obligatoire)

AutomationRuleProperties

Nom Description Valeur
Actions Actions à exécuter lorsque la règle d’automatisation est déclenchée. AutomationRuleAction[] (obligatoire)
displayName Nom complet de la règle Automation. corde

Contraintes:
Longueur maximale = 500 (obligatoire)
commande Ordre d’exécution de la règle d’automatisation. Int

Contraintes:
Valeur minimale = 1
Valeur maximale = 1 000 (obligatoire)
triggeringLogic Décrit la logique de déclenchement de règle d’automatisation. AutomationRuleTriggeringLogic (obligatoire)

AutomationRulePropertyArrayChangedValuesCondition

Nom Description Valeur
arrayType 'Alertes'
'Comments'
'Étiquettes'
'Tactics'
changeType 'Added'

AutomationRulePropertyArrayValuesCondition

Nom Description Valeur
arrayConditionType 'AllItems'
'AnyItem'
arrayType 'CustomDetails'
'CustomDetailValues'
'IncidentLabels'
itemConditions AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Nom Description Valeur
changeType 'ChangedFrom'
'ChangedTo'
opérateur 'Contains'
'EndsWith'
'Equals'
'NotContains'
'NotEndsWith'
'NotEquals'
'NotStartsWith'
'StartsWith'
propertyName 'IncidentOwner'
'IncidentSeverity'
'IncidentStatus'
propertyValues string[]

AutomationRulePropertyValuesCondition

Nom Description Valeur
opérateur 'Contains'
'EndsWith'
'Equals'
'NotContains'
'NotEndsWith'
'NotEquals'
'NotStartsWith'
'StartsWith'
propertyName Propriété à évaluer dans une condition de propriété de règle Automation. 'AccountAadTenantId'
'AccountAadUserId'
'AccountName'
'AccountNTDomain'
'AccountObjectGuid'
'AccountPUID'
'AccountSid'
'AccountUPNSuffix'
'AlertAnalyticRuleIds'
'AlertProductNames'
'AzureResourceResourceId'
'AzureResourceSubscriptionId'
'CloudApplicationAppId'
'CloudApplicationAppName'
'DNSDomainName'
'FileDirectory'
'FileHashValue'
'FileName'
'HostAzureID'
'HostName'
'HostNetBiosName'
'HostNTDomain'
'HostOSVersion'
'IncidentCustomDetailsKey'
'IncidentCustomDetailsValue'
'IncidentDescription'
'IncidentLabel'
'IncidentProviderName'
'IncidentRelatedAnalyticRuleIds'
'IncidentSeverity'
'IncidentStatus'
'IncidentTactics'
'IncidentTitle'
'IncidentUpdatedBySource'
'IoTDeviceId'
'IoTDeviceModel'
'IoTDeviceName'
'IoTDeviceOperatingSystem'
'IoTDeviceType'
'IoTDeviceVendor'
'IPAddress'
'MailboxDisplayName'
'MailboxPrimaryAddress'
'MailboxUPN'
'MailMessageDeliveryAction'
'MailMessageDeliveryLocation'
'MailMessageP1Sender'
'MailMessageP2Sender'
'MailMessageRecipient'
'MailMessageSenderIP'
'MailMessageSubject'
'MalwareCategory'
'MalwareName'
'ProcessCommandLine'
'ProcessId'
'RegistryKey'
'RegistryValueData'
'Url'
propertyValues string[]

AutomationRuleRunPlaybookAction

Nom Description Valeur
actionConfiguration PlaybookActionProperties
actionType Type de l’action de règle Automation. 'RunPlaybook' (obligatoire)

AutomationRuleTriggeringLogic

Nom Description Valeur
conditions Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. AutomationRuleCondition[]
expirationTimeUtc Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. corde
isEnabled Détermine si la règle d’automatisation est activée ou désactivée. bool (obligatoire)
triggersOn 'Alertes'
« Incidents » (obligatoire)
triggersWhen 'Créé'
'Mise à jour' (obligatoire)

BooleanConditionProperties

Nom Description Valeur
conditionProperties AutomationRuleBooleanCondition
conditionType 'Boolean' (obligatoire)

IncidentLabel

Nom Description Valeur
labelName Nom de l’étiquette chaîne (obligatoire)

IncidentOwnerInfo

Nom Description Valeur
assignedTo Nom de l’utilisateur auquel l’incident est affecté. corde
Messagerie électronique E-mail de l’utilisateur auquel l’incident est affecté. corde
objectId ID d’objet de l’utilisateur auquel l’incident est affecté. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType Type du propriétaire auquel l’incident est affecté. 'Groupe'
'Inconnu'
'User'
userPrincipalName Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. corde

IncidentPropertiesAction

Nom Description Valeur
classification La raison pour laquelle l’incident a été fermé 'BenignPositive'
'FalsePositive'
'TruePositive'
'Indéterminé'
classificationComment Décrit la raison pour laquelle l’incident a été fermé. corde
classificationReason La raison de classification avec laquelle l’incident a été fermé 'IncorrectData'
'IncorrectAlertLogic'
'SuspiciousActivity'
'SuspectButExpected'
Étiquettes Liste des étiquettes à ajouter à l’incident. IncidentLabel []
propriétaire Informations sur l’utilisateur auquel un incident est affecté incidentOwnerInfo
sévérité Gravité de l’incident 'High'
'Informational'
'Low'
'Medium'
statut État de l’incident 'Actif'
'Fermé'
'Nouveau'

Microsoft.SecurityInsights/automationRules

Nom Description Valeur
apiVersion Version de l’API '2024-10-01-preview'
etag Etag de la ressource Azure corde
nom Nom de la ressource chaîne (obligatoire)
Propriétés Propriétés de règle Automation AutomationRuleProperties (obligatoire)
type Type de ressource 'Microsoft.SecurityInsights/automationRules'

PlaybookActionProperties

Nom Description Valeur
logicAppResourceId ID de ressource de la ressource playbook. chaîne (obligatoire)
tenantId ID de locataire de la ressource playbook. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyArrayChangedValuesCondition
conditionType 'PropertyArrayChanged' (obligatoire)

PropertyArrayConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyArrayValuesCondition
conditionType 'PropertyArray' (obligatoire)

PropertyChangedConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyValuesChangedCondition
conditionType 'PropertyChanged' (obligatoire)

PropertyConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyValuesCondition
conditionType 'Property' (obligatoire)

Modèles de démarrage rapide

Les modèles de démarrage rapide suivants déploient ce type de ressource.

Modèle Description
Crée une règle Microsoft Sentinel Automation

Déployer sur Azure
Cet exemple montre comment créer une règle d’automatisation dans Microsoft Sentinel

Définition de ressource Terraform (fournisseur AzAPI)

Le type de ressource AutomationRules peut être déployé avec des opérations qui ciblent :

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format de ressource

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le terraform suivant à votre modèle.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/automationRules@2024-10-01-preview"
  name = "string"
  parent_id = "string"
  etag = "string"
  body = jsonencode({
    properties = {
      actions = [
        {
          order = int
          actionType = "string"
          // For remaining properties, see AutomationRuleAction objects
        }
      ]
      displayName = "string"
      order = int
      triggeringLogic = {
        conditions = [
          {
            conditionType = "string"
            // For remaining properties, see AutomationRuleCondition objects
          }
        ]
        expirationTimeUtc = "string"
        isEnabled = bool
        triggersOn = "string"
        triggersWhen = "string"
      }
    }
  })
}

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour booléen, utilisez :

{
  conditionProperties = {
    innerConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator = "string"
  }
  conditionType = "Boolean"
}

Pour propriété, utilisez :

{
  conditionProperties = {
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }
  conditionType = "Property"
}

Pour PropertyArray, utilisez :

{
  conditionProperties = {
    arrayConditionType = "string"
    arrayType = "string"
    itemConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }
  conditionType = "PropertyArray"
}

Pour PropertyArrayChanged, utilisez :

{
  conditionProperties = {
    arrayType = "string"
    changeType = "string"
  }
  conditionType = "PropertyArrayChanged"
}

Pour PropertyChanged, utilisez :

{
  conditionProperties = {
    changeType = "string"
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }
  conditionType = "PropertyChanged"
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour addIncidentTask, utilisez :

{
  actionConfiguration = {
    description = "string"
    title = "string"
  }
  actionType = "AddIncidentTask"
}

Pour ModifyProperties, utilisez :

{
  actionConfiguration = {
    classification = "string"
    classificationComment = "string"
    classificationReason = "string"
    labels = [
      {
        labelName = "string"
      }
    ]
    owner = {
      assignedTo = "string"
      email = "string"
      objectId = "string"
      ownerType = "string"
      userPrincipalName = "string"
    }
    severity = "string"
    status = "string"
  }
  actionType = "ModifyProperties"
}

Pour RunPlaybook, utilisez :

{
  actionConfiguration = {
    logicAppResourceId = "string"
    tenantId = "string"
  }
  actionType = "RunPlaybook"
}

Valeurs de propriété

AddIncidentTaskActionProperties

Nom Description Valeur
description Description de la tâche. corde
titre Titre de la tâche. chaîne (obligatoire)

AutomationRuleAction

Nom Description Valeur
actionType Défini sur « AddIncidentTask » pour le type AutomationRuleAddIncidentTaskAction. Défini sur « ModifyProperties » pour le type AutomationRuleModifyPropertiesAction. Défini sur « RunPlaybook » pour le type AutomationRuleRunPlaybookAction. 'AddIncidentTask'
'ModifyProperties'
'RunPlaybook' (obligatoire)
commande int (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom Description Valeur
actionConfiguration AddIncidentTaskActionProperties
actionType Type de l’action de règle Automation. 'AddIncidentTask' (obligatoire)

AutomationRuleBooleanCondition

Nom Description Valeur
innerConditions AutomationRuleCondition[]
opérateur 'And'
'Or'

AutomationRuleCondition

Nom Description Valeur
conditionType Défini sur « Boolean » pour le type BooleanConditionProperties. Défini sur « Property » pour le type PropertyConditionProperties. Défini sur « PropertyArray » pour le type PropertyArrayConditionProperties. Défini sur « PropertyArrayChanged » pour le type PropertyArrayChangedConditionProperties. Affectez la valeur « PropertyChanged » pour le type PropertyChangedConditionProperties. 'Boolean'
'Property'
'PropertyArray'
'PropertyArrayChanged'
'PropertyChanged' (obligatoire)

AutomationRuleModifyPropertiesAction

Nom Description Valeur
actionConfiguration incidentPropertiesAction
actionType Type de l’action de règle Automation. 'ModifyProperties' (obligatoire)

AutomationRuleProperties

Nom Description Valeur
Actions Actions à exécuter lorsque la règle d’automatisation est déclenchée. AutomationRuleAction[] (obligatoire)
displayName Nom complet de la règle Automation. corde

Contraintes:
Longueur maximale = 500 (obligatoire)
commande Ordre d’exécution de la règle d’automatisation. Int

Contraintes:
Valeur minimale = 1
Valeur maximale = 1 000 (obligatoire)
triggeringLogic Décrit la logique de déclenchement de règle d’automatisation. AutomationRuleTriggeringLogic (obligatoire)

AutomationRulePropertyArrayChangedValuesCondition

Nom Description Valeur
arrayType 'Alertes'
'Comments'
'Étiquettes'
'Tactics'
changeType 'Added'

AutomationRulePropertyArrayValuesCondition

Nom Description Valeur
arrayConditionType 'AllItems'
'AnyItem'
arrayType 'CustomDetails'
'CustomDetailValues'
'IncidentLabels'
itemConditions AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Nom Description Valeur
changeType 'ChangedFrom'
'ChangedTo'
opérateur 'Contains'
'EndsWith'
'Equals'
'NotContains'
'NotEndsWith'
'NotEquals'
'NotStartsWith'
'StartsWith'
propertyName 'IncidentOwner'
'IncidentSeverity'
'IncidentStatus'
propertyValues string[]

AutomationRulePropertyValuesCondition

Nom Description Valeur
opérateur 'Contains'
'EndsWith'
'Equals'
'NotContains'
'NotEndsWith'
'NotEquals'
'NotStartsWith'
'StartsWith'
propertyName Propriété à évaluer dans une condition de propriété de règle Automation. 'AccountAadTenantId'
'AccountAadUserId'
'AccountName'
'AccountNTDomain'
'AccountObjectGuid'
'AccountPUID'
'AccountSid'
'AccountUPNSuffix'
'AlertAnalyticRuleIds'
'AlertProductNames'
'AzureResourceResourceId'
'AzureResourceSubscriptionId'
'CloudApplicationAppId'
'CloudApplicationAppName'
'DNSDomainName'
'FileDirectory'
'FileHashValue'
'FileName'
'HostAzureID'
'HostName'
'HostNetBiosName'
'HostNTDomain'
'HostOSVersion'
'IncidentCustomDetailsKey'
'IncidentCustomDetailsValue'
'IncidentDescription'
'IncidentLabel'
'IncidentProviderName'
'IncidentRelatedAnalyticRuleIds'
'IncidentSeverity'
'IncidentStatus'
'IncidentTactics'
'IncidentTitle'
'IncidentUpdatedBySource'
'IoTDeviceId'
'IoTDeviceModel'
'IoTDeviceName'
'IoTDeviceOperatingSystem'
'IoTDeviceType'
'IoTDeviceVendor'
'IPAddress'
'MailboxDisplayName'
'MailboxPrimaryAddress'
'MailboxUPN'
'MailMessageDeliveryAction'
'MailMessageDeliveryLocation'
'MailMessageP1Sender'
'MailMessageP2Sender'
'MailMessageRecipient'
'MailMessageSenderIP'
'MailMessageSubject'
'MalwareCategory'
'MalwareName'
'ProcessCommandLine'
'ProcessId'
'RegistryKey'
'RegistryValueData'
'Url'
propertyValues string[]

AutomationRuleRunPlaybookAction

Nom Description Valeur
actionConfiguration PlaybookActionProperties
actionType Type de l’action de règle Automation. 'RunPlaybook' (obligatoire)

AutomationRuleTriggeringLogic

Nom Description Valeur
conditions Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. AutomationRuleCondition[]
expirationTimeUtc Détermine quand la règle d’automatisation doit expirer et être désactivée automatiquement. corde
isEnabled Détermine si la règle d’automatisation est activée ou désactivée. bool (obligatoire)
triggersOn 'Alertes'
« Incidents » (obligatoire)
triggersWhen 'Créé'
'Mise à jour' (obligatoire)

BooleanConditionProperties

Nom Description Valeur
conditionProperties AutomationRuleBooleanCondition
conditionType 'Boolean' (obligatoire)

IncidentLabel

Nom Description Valeur
labelName Nom de l’étiquette chaîne (obligatoire)

IncidentOwnerInfo

Nom Description Valeur
assignedTo Nom de l’utilisateur auquel l’incident est affecté. corde
Messagerie électronique E-mail de l’utilisateur auquel l’incident est affecté. corde
objectId ID d’objet de l’utilisateur auquel l’incident est affecté. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType Type du propriétaire auquel l’incident est affecté. 'Groupe'
'Inconnu'
'User'
userPrincipalName Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. corde

IncidentPropertiesAction

Nom Description Valeur
classification La raison pour laquelle l’incident a été fermé 'BenignPositive'
'FalsePositive'
'TruePositive'
'Indéterminé'
classificationComment Décrit la raison pour laquelle l’incident a été fermé. corde
classificationReason La raison de classification avec laquelle l’incident a été fermé 'IncorrectData'
'IncorrectAlertLogic'
'SuspiciousActivity'
'SuspectButExpected'
Étiquettes Liste des étiquettes à ajouter à l’incident. IncidentLabel []
propriétaire Informations sur l’utilisateur auquel un incident est affecté incidentOwnerInfo
sévérité Gravité de l’incident 'High'
'Informational'
'Low'
'Medium'
statut État de l’incident 'Actif'
'Fermé'
'Nouveau'

Microsoft.SecurityInsights/automationRules

Nom Description Valeur
etag Etag de la ressource Azure corde
nom Nom de la ressource chaîne (obligatoire)
parent_id ID de la ressource à laquelle appliquer cette ressource d’extension. chaîne (obligatoire)
Propriétés Propriétés de règle Automation AutomationRuleProperties (obligatoire)
type Type de ressource « Microsoft.SecurityInsights/automationRules@2024-10-01-preview »

PlaybookActionProperties

Nom Description Valeur
logicAppResourceId ID de ressource de la ressource playbook. chaîne (obligatoire)
tenantId ID de locataire de la ressource playbook. corde

Contraintes:
Longueur minimale = 36
Longueur maximale = 36
Modèle = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyArrayChangedValuesCondition
conditionType 'PropertyArrayChanged' (obligatoire)

PropertyArrayConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyArrayValuesCondition
conditionType 'PropertyArray' (obligatoire)

PropertyChangedConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyValuesChangedCondition
conditionType 'PropertyChanged' (obligatoire)

PropertyConditionProperties

Nom Description Valeur
conditionProperties AutomationRulePropertyValuesCondition
conditionType 'Property' (obligatoire)