Partager via


Microsoft.SecurityInsights automationRules

Définition de ressource Bicep

Le type de ressource automationRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.

Utilisez la scope propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans Bicep.

Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.

Format des ressources

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le Bicep suivant à votre modèle.

resource symbolicname 'Microsoft.SecurityInsights/automationRules@2023-02-01-preview' = {
  name: 'string'
  scope: resourceSymbolicName
  etag: 'string'
  properties: {
    actions: [
      {
        order: int
        actionType: 'string'
        // For remaining properties, see AutomationRuleAction objects
      }
    ]
    displayName: 'string'
    order: int
    triggeringLogic: {
      conditions: [
        {
          conditionType: 'string'
          // For remaining properties, see AutomationRuleCondition objects
        }
      ]
      expirationTimeUtc: 'string'
      isEnabled: bool
      triggersOn: 'string'
      triggersWhen: 'string'
    }
  }
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour AddIncidentTask, utilisez :

  actionType: 'AddIncidentTask'
  actionConfiguration: {
    description: 'string'
    title: 'string'
  }

Pour ModifyProperties, utilisez :

  actionType: 'ModifyProperties'
  actionConfiguration: {
    classification: 'string'
    classificationComment: 'string'
    classificationReason: 'string'
    labels: [
      {
        labelName: 'string'
      }
    ]
    owner: {
      assignedTo: 'string'
      email: 'string'
      objectId: 'string'
      ownerType: 'string'
      userPrincipalName: 'string'
    }
    severity: 'string'
    status: 'string'
  }

Pour RunPlaybook, utilisez :

  actionType: 'RunPlaybook'
  actionConfiguration: {
    logicAppResourceId: 'string'
    tenantId: 'string'
  }

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour Boolean, utilisez :

  conditionType: 'Boolean'
  conditionProperties: {
    innerConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator: 'string'
  }

Pour Propriété, utilisez :

  conditionType: 'Property'
  conditionProperties: {
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }

Pour PropertyArray, utilisez :

  conditionType: 'PropertyArray'
  conditionProperties: {
    arrayConditionType: 'AnyItem'
    arrayType: 'string'
    itemConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

Pour PropertyArrayChanged, utilisez :

  conditionType: 'PropertyArrayChanged'
  conditionProperties: {
    arrayType: 'string'
    changeType: 'Added'
  }

Pour PropertyChanged, utilisez :

  conditionType: 'PropertyChanged'
  conditionProperties: {
    changeType: 'string'
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }

Valeurs de propriétés

automationRules

Nom Description Valeur
name Nom de la ressource chaîne (obligatoire)
scope Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue du déploiement. Ressource cible

Pour Bicep, définissez cette propriété sur le nom symbolique de la ressource pour appliquer la ressource d’extension.
etag Etag de la ressource Azure string
properties Propriétés de règle Automation AutomationRuleProperties (obligatoire)

AutomationRuleProperties

Nom Description Valeur
actions Actions à exécuter lorsque la règle d’automatisation est déclenchée. AutomationRuleAction[] (obligatoire)
displayName Nom d’affichage de la règle d’automatisation. chaîne (obligatoire)
order Ordre d’exécution de la règle d’automatisation. int (obligatoire)
triggeringLogic Décrit la logique de déclenchement des règles d’automatisation. AutomationRuleTriggeringLogic (obligatoire)

AutomationRuleAction

Nom Description Valeur
order int (obligatoire)
actionType Définir le type d’objet AddIncidentTask
ModifyProperties
RunPlaybook (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. 'AddIncidentTask' (obligatoire)
actionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

Nom Description Valeur
description Description de la tâche. string
title Titre de la tâche. string (obligatoire)

AutomationRuleModifyPropertiesAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. 'ModifyProperties' (obligatoire)
actionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Nom Description Valeur
classification ; La raison pour laquelle l’incident a été fermé 'BenignPositive'
'FalsePositive'
'TruePositive'
« Indéterminé »
classificationComment Décrit la raison pour laquelle l’incident a été fermé. string
classificationReason La raison de classification pour laquelle l’incident a été fermé avec 'InaccurateData'
'IncorrectAlertLogic'
'SuspiciousActivity'
'SuspiciousButExpected'
étiquettes Liste des étiquettes à ajouter à l’incident. IncidentLabel[]
propriétaire Informations sur l’utilisateur auquel un incident est attribué IncidentOwnerInfo
severity Gravité de l’incident 'High'
'Informational'
'Low'
'Medium'
status État de l’incident 'Active'
'Fermé'
'New'

IncidentLabel

Nom Description Valeur
labelName Nom de l’étiquette string (obligatoire)

IncidentOwnerInfo

Nom Description Valeur
Affectéà Nom de l’utilisateur auquel l’incident est affecté. string
email E-mail de l’utilisateur auquel l’incident est affecté. string
objectId ID d’objet de l’utilisateur auquel l’incident est affecté. string
ownerType Type du propriétaire auquel l’incident est affecté. 'Group'
'Unknown'
'User'
userPrincipalName Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. string

AutomationRuleRunPlaybookAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. 'RunPlaybook' (obligatoire)
actionConfiguration PlaybookActionProperties

PlaybookActionProperties

Nom Description Valeur
logicAppResourceId ID de ressource de la ressource de playbook. string
tenantId ID de locataire de la ressource de playbook. string

AutomationRuleTriggeringLogic

Nom Description Valeur
conditions Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. AutomationRuleCondition[]
expirationTimeUtc Détermine quand la règle d’automatisation doit expirer automatiquement et être désactivée. string
isEnabled Détermine si la règle d’automatisation est activée ou désactivée. bool (obligatoire)
triggersOn 'Alertes'
'Incidents' (obligatoire)
déclencheursQuels 'Créé'
'Mis à jour' (obligatoire)

AutomationRuleCondition

Nom Description Valeur
conditionType Définir le type d’objet Booléen
Propriété
PropertyArray
PropertyArrayChanged
PropertyChanged (obligatoire)

BooleanConditionProperties

Nom Description Valeur
conditionType 'Boolean' (obligatoire)
conditionProperties AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

Nom Description Valeur
innerConditions AutomationRuleCondition[]
operator 'Et'
'Or'

PropertyConditionProperties

Nom Description Valeur
conditionType 'Property' (obligatoire)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Nom Description Valeur
operator 'Contient'
'EndsWith'
'Equals'
'NotContains'
'NotEndsWith'
'NotEquals'
'NotStartsWith'
'StartsWith'
propertyName Propriété à évaluer dans une condition de propriété de règle d’automatisation. 'AccountAadTenantId'
'AccountAadUserId'
'AccountNTDomain'
'AccountName'
'AccountObjectGuid'
'AccountPUID'
'AccountSid'
'AccountUPNSuffix'
'AlertAnalyticRuleIds'
'AlertProductNames'
'AzureResourceResourceId'
'AzureResourceSubscriptionId'
'CloudApplicationAppId'
'CloudApplicationAppName'
'DNSDomainName'
'FileDirectory'
'FileHashValue'
'FileName'
'HostAzureID'
'HostNTDomain'
'HostName'
'HostNetBiosName'
'HostOSVersion'
'IPAddress'
'IncidentCustomDetailsKey'
'IncidentCustomDetailsValue'
'IncidentDescription'
'IncidentLabel'
'IncidentProviderName'
'IncidentRelatedAnalyticRuleIds'
'IncidentSeverity'
'IncidentStatus'
'IncidentTactics'
'IncidentTitle'
'IncidentUpdatedBySource'
'IoTDeviceId'
'IoTDeviceModel'
'IoTDeviceName'
'IoTDeviceOperatingSystem'
'IoTDeviceType'
'IoTDeviceVendor'
'MailMessageDeliveryAction'
'MailMessageDeliveryLocation'
'MailMessageP1Sender'
'MailMessageP2Sender'
'MailMessageRecipient'
'MailMessageSenderIP'
'MailMessageSubject'
'MailboxDisplayName'
'MailboxPrimaryAddress'
'MailboxUPN'
'MalwareCategory'
'MalwareName'
'ProcessCommandLine'
'ProcessId'
'RegistryKey'
'RegistryValueData'
'Url'
propertyValues string[]

PropertyArrayConditionProperties

Nom Description Valeur
conditionType 'PropertyArray' (obligatoire)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

Nom Description Valeur
arrayConditionType 'AnyItem'
arrayType 'CustomDetailValues'
'CustomDetails'
itemConditions AutomationRuleCondition[]

PropertyArrayChangedConditionProperties

Nom Description Valeur
conditionType 'PropertyArrayChanged' (obligatoire)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

Nom Description Valeur
arrayType 'Alertes'
'Commentaires'
'Labels'
'Tactiques'
changeType 'Added'

PropertyChangedConditionProperties

Nom Description Valeur
conditionType 'PropertyChanged' (obligatoire)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

Nom Description Valeur
changeType 'ChangedFrom'
'ChangedTo'
operator 'Contains'
'EndsWith'
'Égal à'
'NotContains'
'NotEndsWith'
NotEquals
'NotStartsWith'
'StartsWith'
propertyName 'IncidentOwner'
'IncidentSeverity'
'IncidentStatus'
propertyValues string[]

Modèles de démarrage rapide

Les modèles de démarrage rapide suivants déploient ce type de ressource.

Modèle Description
Crée une règle d’automatisation Microsoft Sentinel

Déployer sur Azure
Cet exemple montre comment créer une règle d’automatisation dans Microsoft Sentinel

Définition de ressources de modèle ARM

Le type de ressource automationRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.

Utilisez la scope propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans les modèles ARM.

Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.

Format des ressources

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le json suivant à votre modèle.

{
  "type": "Microsoft.SecurityInsights/automationRules",
  "apiVersion": "2023-02-01-preview",
  "name": "string",
  "scope": "string",
  "etag": "string",
  "properties": {
    "actions": [
      {
        "order": "int",
        "actionType": "string"
        // For remaining properties, see AutomationRuleAction objects
      }
    ],
    "displayName": "string",
    "order": "int",
    "triggeringLogic": {
      "conditions": [
        {
          "conditionType": "string"
          // For remaining properties, see AutomationRuleCondition objects
        }
      ],
      "expirationTimeUtc": "string",
      "isEnabled": "bool",
      "triggersOn": "string",
      "triggersWhen": "string"
    }
  }
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour AddIncidentTask, utilisez :

  "actionType": "AddIncidentTask",
  "actionConfiguration": {
    "description": "string",
    "title": "string"
  }

Pour ModifyProperties, utilisez :

  "actionType": "ModifyProperties",
  "actionConfiguration": {
    "classification": "string",
    "classificationComment": "string",
    "classificationReason": "string",
    "labels": [
      {
        "labelName": "string"
      }
    ],
    "owner": {
      "assignedTo": "string",
      "email": "string",
      "objectId": "string",
      "ownerType": "string",
      "userPrincipalName": "string"
    },
    "severity": "string",
    "status": "string"
  }

Pour RunPlaybook, utilisez :

  "actionType": "RunPlaybook",
  "actionConfiguration": {
    "logicAppResourceId": "string",
    "tenantId": "string"
  }

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour Boolean, utilisez :

  "conditionType": "Boolean",
  "conditionProperties": {
    "innerConditions": [
      {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ],
    "operator": "string"
  }

Pour Propriété, utilisez :

  "conditionType": "Property",
  "conditionProperties": {
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  }

Pour PropertyArray, utilisez :

  "conditionType": "PropertyArray",
  "conditionProperties": {
    "arrayConditionType": "AnyItem",
    "arrayType": "string",
    "itemConditions": [
      {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

Pour PropertyArrayChanged, utilisez :

  "conditionType": "PropertyArrayChanged",
  "conditionProperties": {
    "arrayType": "string",
    "changeType": "Added"
  }

Pour PropertyChanged, utilisez :

  "conditionType": "PropertyChanged",
  "conditionProperties": {
    "changeType": "string",
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  }

Valeurs de propriétés

automationRules

Nom Description Valeur
type Type de ressource 'Microsoft.SecurityInsights/automationRules'
apiVersion Version de l’API de ressource '2023-02-01-preview'
name Nom de la ressource string (obligatoire)
scope Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue de déploiement. Ressource cible

Pour JSON, définissez la valeur sur le nom complet de la ressource à laquelle appliquer la ressource d’extension .
etag Etag de la ressource Azure string
properties Propriétés de la règle Automation AutomationRuleProperties (obligatoire)

AutomationRuleProperties

Nom Description Valeur
actions Actions à exécuter lorsque la règle d’automatisation est déclenchée. AutomationRuleAction[] (obligatoire)
displayName Nom complet de la règle d’automatisation. string (obligatoire)
order Ordre d’exécution de la règle d’automatisation. int (obligatoire)
triggeringLogic Décrit la logique de déclenchement d’une règle d’automatisation. AutomationRuleTriggeringLogic (obligatoire)

AutomationRuleAction

Nom Description Valeur
order int (obligatoire)
actionType Définir le type d’objet AddIncidentTask
ModifyProperties
RunPlaybook (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. 'AddIncidentTask' (obligatoire)
actionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

Nom Description Valeur
description Description de la tâche. string
title Titre de la tâche. string (obligatoire)

AutomationRuleModifyPropertiesAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. 'ModifyProperties' (obligatoire)
actionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Nom Description Valeur
classification ; La raison pour laquelle l’incident a été fermé 'BenignPositive'
'FalsePositive'
'TruePositive'
« Indéterminé »
classificationComment Décrit la raison pour laquelle l’incident a été fermé. string
classificationReason La raison de classification pour laquelle l’incident a été fermé avec 'InaccurateData'
'IncorrectAlertLogic'
'SuspiciousActivity'
'SuspiciousButExpected'
étiquettes Liste des étiquettes à ajouter à l’incident. IncidentLabel[]
propriétaire Informations sur l’utilisateur auquel un incident est attribué IncidentOwnerInfo
severity Gravité de l’incident 'High'
'Informational'
'Low'
'Medium'
status État de l’incident 'Active'
'Fermé'
'New'

IncidentLabel

Nom Description Valeur
labelName Nom de l’étiquette string (obligatoire)

IncidentOwnerInfo

Nom Description Valeur
Affectéà Nom de l’utilisateur auquel l’incident est affecté. string
email E-mail de l’utilisateur auquel l’incident est affecté. string
objectId ID d’objet de l’utilisateur auquel l’incident est affecté. string
ownerType Type du propriétaire auquel l’incident est affecté. 'Group'
'Unknown'
'User'
userPrincipalName Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. string

AutomationRuleRunPlaybookAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. 'RunPlaybook' (obligatoire)
actionConfiguration PlaybookActionProperties

PlaybookActionProperties

Nom Description Valeur
logicAppResourceId ID de ressource de la ressource de playbook. string
tenantId ID de locataire de la ressource de playbook. string

AutomationRuleTriggeringLogic

Nom Description Valeur
conditions Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. AutomationRuleCondition[]
expirationTimeUtc Détermine quand la règle d’automatisation doit automatiquement expirer et être désactivée. string
isEnabled Détermine si la règle d’automatisation est activée ou désactivée. bool (obligatoire)
triggersOn 'Alertes'
'Incidents' (obligatoire)
triggersWhen 'Créé'
'Mis à jour' (obligatoire)

AutomationRuleCondition

Nom Description Valeur
conditionType Définir le type d’objet Booléen
Propriété
PropertyArray
PropertyArrayChanged
PropertyChanged (obligatoire)

BooleanConditionProperties

Nom Description Valeur
conditionType 'Boolean' (obligatoire)
conditionProperties AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

Nom Description Valeur
innerConditions AutomationRuleCondition[]
operator 'Et'
'Or'

PropertyConditionProperties

Nom Description Valeur
conditionType 'Property' (obligatoire)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Nom Description Valeur
operator 'Contient'
'EndsWith'
'Equals'
'NotContains'
'NotEndsWith'
'NotEquals'
'NotStartsWith'
'StartsWith'
propertyName Propriété à évaluer dans une condition de propriété de règle d’automatisation. 'AccountAadTenantId'
'AccountAadUserId'
'AccountNTDomain'
'AccountName'
'AccountObjectGuid'
'AccountPUID'
'AccountSid'
'AccountUPNSuffix'
'AlertAnalyticRuleIds'
'AlertProductNames'
'AzureResourceResourceId'
'AzureResourceSubscriptionId'
'CloudApplicationAppId'
'CloudApplicationAppName'
'DNSDomainName'
'FileDirectory'
'FileHashValue'
'FileName'
'HostAzureID'
'HostNTDomain'
'HostName'
'HostNetBiosName'
'HostOSVersion'
'IPAddress'
'IncidentCustomDetailsKey'
'IncidentCustomDetailsValue'
'IncidentDescription'
'IncidentLabel'
'IncidentProviderName'
'IncidentRelatedAnalyticRuleIds'
'IncidentSeverity'
'IncidentStatus'
'IncidentTactics'
'IncidentTitle'
'IncidentUpdatedBySource'
'IoTDeviceId'
'IoTDeviceModel'
'IoTDeviceName'
'IoTDeviceOperatingSystem'
'IoTDeviceType'
'IoTDeviceVendor'
'MailMessageDeliveryAction'
'MailMessageDeliveryLocation'
'MailMessageP1Sender'
'MailMessageP2Sender'
'MailMessageRecipient'
'MailMessageSenderIP'
'MailMessageSubject'
'MailboxDisplayName'
'MailboxPrimaryAddress'
'MailboxUPN'
'MalwareCategory'
'MalwareName'
'ProcessCommandLine'
'ProcessId'
'RegistryKey'
'RegistryValueData'
'Url'
propertyValues string[]

PropertyArrayConditionProperties

Nom Description Valeur
conditionType 'PropertyArray' (obligatoire)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

Nom Description Valeur
arrayConditionType 'AnyItem'
arrayType 'CustomDetailValues'
'CustomDetails'
itemConditions AutomationRuleCondition[]

PropertyArrayChangedConditionProperties

Nom Description Valeur
conditionType 'PropertyArrayChanged' (obligatoire)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

Nom Description Valeur
arrayType 'Alertes'
'Commentaires'
'Labels'
'Tactiques'
changeType 'Added'

PropertyChangedConditionProperties

Nom Description Valeur
conditionType 'PropertyChanged' (obligatoire)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

Nom Description Valeur
changeType 'ChangedFrom'
'ChangedTo'
operator 'Contains'
'EndsWith'
'Égal à'
'NotContains'
'NotEndsWith'
NotEquals
'NotStartsWith'
'StartsWith'
propertyName 'IncidentOwner'
'IncidentSeverity'
'IncidentStatus'
propertyValues string[]

Modèles de démarrage rapide

Les modèles de démarrage rapide suivants déploient ce type de ressource.

Modèle Description
Crée une règle d’automatisation Microsoft Sentinel

Déployer sur Azure
Cet exemple montre comment créer une règle d’automatisation dans Microsoft Sentinel

Définition de ressource Terraform (fournisseur AzAPI)

Le type de ressource automationRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.

Utilisez la parent_id propriété sur cette ressource pour définir l’étendue de cette ressource.

Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.

Format des ressources

Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le Terraform suivant à votre modèle.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/automationRules@2023-02-01-preview"
  name = "string"
  parent_id = "string"
  body = jsonencode({
    properties = {
      actions = [
        {
          order = int
          actionType = "string"
          // For remaining properties, see AutomationRuleAction objects
        }
      ]
      displayName = "string"
      order = int
      triggeringLogic = {
        conditions = [
          {
            conditionType = "string"
            // For remaining properties, see AutomationRuleCondition objects
          }
        ]
        expirationTimeUtc = "string"
        isEnabled = bool
        triggersOn = "string"
        triggersWhen = "string"
      }
    }
    etag = "string"
  })
}

Objets AutomationRuleAction

Définissez la propriété actionType pour spécifier le type d’objet.

Pour AddIncidentTask, utilisez :

  actionType = "AddIncidentTask"
  actionConfiguration = {
    description = "string"
    title = "string"
  }

Pour ModifyProperties, utilisez :

  actionType = "ModifyProperties"
  actionConfiguration = {
    classification = "string"
    classificationComment = "string"
    classificationReason = "string"
    labels = [
      {
        labelName = "string"
      }
    ]
    owner = {
      assignedTo = "string"
      email = "string"
      objectId = "string"
      ownerType = "string"
      userPrincipalName = "string"
    }
    severity = "string"
    status = "string"
  }

Pour RunPlaybook, utilisez :

  actionType = "RunPlaybook"
  actionConfiguration = {
    logicAppResourceId = "string"
    tenantId = "string"
  }

Objets AutomationRuleCondition

Définissez la propriété conditionType pour spécifier le type d’objet.

Pour Boolean, utilisez :

  conditionType = "Boolean"
  conditionProperties = {
    innerConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator = "string"
  }

Pour Propriété, utilisez :

  conditionType = "Property"
  conditionProperties = {
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }

Pour PropertyArray, utilisez :

  conditionType = "PropertyArray"
  conditionProperties = {
    arrayConditionType = "AnyItem"
    arrayType = "string"
    itemConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

Pour PropertyArrayChanged, utilisez :

  conditionType = "PropertyArrayChanged"
  conditionProperties = {
    arrayType = "string"
    changeType = "Added"
  }

Pour PropertyChanged, utilisez :

  conditionType = "PropertyChanged"
  conditionProperties = {
    changeType = "string"
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }

Valeurs de propriétés

automationRules

Nom Description Valeur
type Type de ressource « Microsoft.SecurityInsights/automationRules@2023-02-01-preview »
name Nom de la ressource chaîne (obligatoire)
parent_id ID de la ressource à laquelle appliquer cette ressource d’extension. chaîne (obligatoire)
etag Etag de la ressource Azure string
properties Propriétés de règle Automation AutomationRuleProperties (obligatoire)

AutomationRuleProperties

Nom Description Valeur
actions Actions à exécuter lorsque la règle d’automatisation est déclenchée. AutomationRuleAction[] (obligatoire)
displayName Nom d’affichage de la règle d’automatisation. chaîne (obligatoire)
order Ordre d’exécution de la règle d’automatisation. int (obligatoire)
triggeringLogic Décrit la logique de déclenchement des règles d’automatisation. AutomationRuleTriggeringLogic (obligatoire)

AutomationRuleAction

Nom Description Valeur
order int (obligatoire)
actionType Définir le type d’objet AddIncidentTask
ModifyProperties
RunPlaybook (obligatoire)

AutomationRuleAddIncidentTaskAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. « AddIncidentTask » (obligatoire)
actionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

Nom Description Valeur
description Description de la tâche. string
title Titre de la tâche. chaîne (obligatoire)

AutomationRuleModifyPropertiesAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. « ModifyProperties » (obligatoire)
actionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Nom Description Valeur
classification ; La raison pour laquelle l’incident a été fermé « BenignPositive »
« FalsePositive »
« TruePositive »
« Non déterminé »
classificationComment Décrit la raison pour laquelle l’incident a été fermé. string
classificationReason Classification de la raison pour laquelle l’incident a été fermé « ExactitudeData »
« IncorrectAlertLogic »
« Activité suspecte »
« SuspectButExpected »
étiquettes Liste des étiquettes à ajouter à l’incident. IncidentLabel[]
propriétaire Informations sur l’utilisateur auquel un incident est attribué IncidentOwnerInfo
severity Gravité de l’incident "High"
« Informationnel »
"Low"
« Moyen »
status État de l’incident « Actif »
« Closed »
« Nouveau »

IncidentLabel

Nom Description Valeur
labelName Nom de l’étiquette string (obligatoire)

IncidentOwnerInfo

Nom Description Valeur
Affectéà Nom de l’utilisateur auquel l’incident est affecté. string
email E-mail de l’utilisateur auquel l’incident est affecté. string
objectId ID d’objet de l’utilisateur auquel l’incident est affecté. string
ownerType Type du propriétaire auquel l’incident est affecté. « Groupe »
« Inconnu »
« Utilisateur »
userPrincipalName Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. string

AutomationRuleRunPlaybookAction

Nom Description Valeur
actionType Type de l’action de règle d’automatisation. « RunPlaybook » (obligatoire)
actionConfiguration PlaybookActionProperties

PlaybookActionProperties

Nom Description Valeur
logicAppResourceId ID de ressource de la ressource de playbook. string
tenantId ID de locataire de la ressource de playbook. string

AutomationRuleTriggeringLogic

Nom Description Valeur
conditions Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. AutomationRuleCondition[]
expirationTimeUtc Détermine quand la règle d’automatisation doit automatiquement expirer et être désactivée. string
isEnabled Détermine si la règle d’automatisation est activée ou désactivée. bool (obligatoire)
triggersOn « Alertes »
« Incidents » (obligatoire)
triggersWhen « Created »
« Mis à jour » (obligatoire)

AutomationRuleCondition

Nom Description Valeur
conditionType Définir le type d’objet Booléen
Propriété
PropertyArray
PropertyArrayChanged
PropertyChanged (obligatoire)

BooleanConditionProperties

Nom Description Valeur
conditionType « Boolean » (obligatoire)
conditionProperties AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

Nom Description Valeur
innerConditions AutomationRuleCondition[]
operator « Et »
« Ou »

PropertyConditionProperties

Nom Description Valeur
conditionType « Property » (obligatoire)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Nom Description Valeur
operator « Contains »
« EndsWith »
« Égal à »
« NotContains »
« NotEndsWith »
« NotEquals »
« NotStartsWith »
« StartsWith »
propertyName Propriété à évaluer dans une condition de propriété de règle d’automatisation. « AccountAadTenantId »
« AccountAadUserId »
« AccountNTDomain »
« AccountName »
« AccountObjectGuid »
« AccountPUID »
« AccountSid »
« AccountUPNSuffix »
« AlertAnalyticRuleIds »
« AlertProductNames »
« AzureResourceResourceId »
« AzureResourceSubscriptionId »
« CloudApplicationAppId »
« CloudApplicationAppName »
« DNSDomainName »
« FileDirectory »
« FileHashValue »
« FileName »
« HostAzureID »
« HostNTDomain »
« HostName »
« HostNetBiosName »
« HostOSVersion »
« IPAddress »
« IncidentCustomDetailsKey »
« IncidentCustomDetailsValue »
« IncidentDescription »
« IncidentLabel »
« IncidentProviderName »
« IncidentRelatedAnalyticRuleIds »
« IncidentSeverity »
« IncidentStatus »
« IncidentTactics »
« IncidentTitle »
« IncidentUpdatedBySource »
« IoTDeviceId »
« IoTDeviceModel »
« IoTDeviceName »
« IoTDeviceOperatingSystem »
« IoTDeviceType »
« IoTDeviceVendor »
« MailMessageDeliveryAction »
« MailMessageDeliveryLocation »
« MailMessageP1Sender »
« MailMessageP2Sender »
« MailMessageRecipient »
« MailMessageSenderIP »
« MailMessageSubject »
« MailboxDisplayName »
« MailboxPrimaryAddress »
« MailboxUPN »
« MalwareCategory »
« MalwareName »
« ProcessCommandLine »
« ProcessId »
« RegistryKey »
« RegistryValueData »
« Url »
propertyValues string[]

PropertyArrayConditionProperties

Nom Description Valeur
conditionType « PropertyArray » (obligatoire)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

Nom Description Valeur
arrayConditionType « AnyItem »
arrayType « CustomDetailValues »
« CustomDetails »
itemConditions AutomationRuleCondition[]

PropertyArrayChangedConditionProperties

Nom Description Valeur
conditionType « PropertyArrayChanged » (obligatoire)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

Nom Description Valeur
arrayType « Alertes »
« Commentaires »
« Étiquettes »
« Tactiques »
changeType « Ajouté »

PropertyChangedConditionProperties

Nom Description Valeur
conditionType « PropertyChanged » (obligatoire)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

Nom Description Valeur
changeType « ChangedFrom »
« ChangedTo »
operator « Contains »
« EndsWith »
« Égal à »
« NotContains »
« NotEndsWith »
« NotEquals »
« NotStartsWith »
« StartsWith »
propertyName « IncidentOwner »
« IncidentSeverity »
« IncidentStatus »
propertyValues string[]