Microsoft.SecurityInsights automationRules
- La plus récente
- 2023-02-01-preview
- 2022-12-01-preview
- 01-11-2022
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2019-01-01-preview
Définition de ressource Bicep
Le type de ressource automationRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la scope
propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans Bicep.
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le Bicep suivant à votre modèle.
resource symbolicname 'Microsoft.SecurityInsights/automationRules@2023-02-01-preview' = {
name: 'string'
scope: resourceSymbolicName
etag: 'string'
properties: {
actions: [
{
order: int
actionType: 'string'
// For remaining properties, see AutomationRuleAction objects
}
]
displayName: 'string'
order: int
triggeringLogic: {
conditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc: 'string'
isEnabled: bool
triggersOn: 'string'
triggersWhen: 'string'
}
}
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour AddIncidentTask, utilisez :
actionType: 'AddIncidentTask'
actionConfiguration: {
description: 'string'
title: 'string'
}
Pour ModifyProperties, utilisez :
actionType: 'ModifyProperties'
actionConfiguration: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
labels: [
{
labelName: 'string'
}
]
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
ownerType: 'string'
userPrincipalName: 'string'
}
severity: 'string'
status: 'string'
}
Pour RunPlaybook, utilisez :
actionType: 'RunPlaybook'
actionConfiguration: {
logicAppResourceId: 'string'
tenantId: 'string'
}
Objets AutomationRuleCondition
Définissez la propriété conditionType pour spécifier le type d’objet.
Pour Boolean, utilisez :
conditionType: 'Boolean'
conditionProperties: {
innerConditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
operator: 'string'
}
Pour Propriété, utilisez :
conditionType: 'Property'
conditionProperties: {
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
Pour PropertyArray, utilisez :
conditionType: 'PropertyArray'
conditionProperties: {
arrayConditionType: 'AnyItem'
arrayType: 'string'
itemConditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
}
Pour PropertyArrayChanged, utilisez :
conditionType: 'PropertyArrayChanged'
conditionProperties: {
arrayType: 'string'
changeType: 'Added'
}
Pour PropertyChanged, utilisez :
conditionType: 'PropertyChanged'
conditionProperties: {
changeType: 'string'
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
Valeurs de propriétés
automationRules
Nom | Description | Valeur |
---|---|---|
name | Nom de la ressource | chaîne (obligatoire) |
scope | Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue du déploiement. | Ressource cible Pour Bicep, définissez cette propriété sur le nom symbolique de la ressource pour appliquer la ressource d’extension. |
etag | Etag de la ressource Azure | string |
properties | Propriétés de règle Automation | AutomationRuleProperties (obligatoire) |
AutomationRuleProperties
Nom | Description | Valeur |
---|---|---|
actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée. | AutomationRuleAction[] (obligatoire) |
displayName | Nom d’affichage de la règle d’automatisation. | chaîne (obligatoire) |
order | Ordre d’exécution de la règle d’automatisation. | int (obligatoire) |
triggeringLogic | Décrit la logique de déclenchement des règles d’automatisation. | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRuleAction
Nom | Description | Valeur |
---|---|---|
order | int (obligatoire) | |
actionType | Définir le type d’objet | AddIncidentTask ModifyProperties RunPlaybook (obligatoire) |
AutomationRuleAddIncidentTaskAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | 'AddIncidentTask' (obligatoire) |
actionConfiguration | AddIncidentTaskActionProperties |
AddIncidentTaskActionProperties
Nom | Description | Valeur |
---|---|---|
description | Description de la tâche. | string |
title | Titre de la tâche. | string (obligatoire) |
AutomationRuleModifyPropertiesAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | 'ModifyProperties' (obligatoire) |
actionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
Nom | Description | Valeur |
---|---|---|
classification ; | La raison pour laquelle l’incident a été fermé | 'BenignPositive' 'FalsePositive' 'TruePositive' « Indéterminé » |
classificationComment | Décrit la raison pour laquelle l’incident a été fermé. | string |
classificationReason | La raison de classification pour laquelle l’incident a été fermé avec | 'InaccurateData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected' |
étiquettes | Liste des étiquettes à ajouter à l’incident. | IncidentLabel[] |
propriétaire | Informations sur l’utilisateur auquel un incident est attribué | IncidentOwnerInfo |
severity | Gravité de l’incident | 'High' 'Informational' 'Low' 'Medium' |
status | État de l’incident | 'Active' 'Fermé' 'New' |
IncidentLabel
Nom | Description | Valeur |
---|---|---|
labelName | Nom de l’étiquette | string (obligatoire) |
IncidentOwnerInfo
Nom | Description | Valeur |
---|---|---|
Affectéà | Nom de l’utilisateur auquel l’incident est affecté. | string |
E-mail de l’utilisateur auquel l’incident est affecté. | string | |
objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | string |
ownerType | Type du propriétaire auquel l’incident est affecté. | 'Group' 'Unknown' 'User' |
userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | string |
AutomationRuleRunPlaybookAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | 'RunPlaybook' (obligatoire) |
actionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
Nom | Description | Valeur |
---|---|---|
logicAppResourceId | ID de ressource de la ressource de playbook. | string |
tenantId | ID de locataire de la ressource de playbook. | string |
AutomationRuleTriggeringLogic
Nom | Description | Valeur |
---|---|---|
conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. | AutomationRuleCondition[] |
expirationTimeUtc | Détermine quand la règle d’automatisation doit expirer automatiquement et être désactivée. | string |
isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
triggersOn | 'Alertes' 'Incidents' (obligatoire) |
|
déclencheursQuels | 'Créé' 'Mis à jour' (obligatoire) |
AutomationRuleCondition
Nom | Description | Valeur |
---|---|---|
conditionType | Définir le type d’objet | Booléen Propriété PropertyArray PropertyArrayChanged PropertyChanged (obligatoire) |
BooleanConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'Boolean' (obligatoire) | |
conditionProperties | AutomationRuleBooleanCondition |
AutomationRuleBooleanCondition
Nom | Description | Valeur |
---|---|---|
innerConditions | AutomationRuleCondition[] | |
operator | 'Et' 'Or' |
PropertyConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'Property' (obligatoire) | |
conditionProperties | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
Nom | Description | Valeur |
---|---|---|
operator | 'Contient' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
propertyName | Propriété à évaluer dans une condition de propriété de règle d’automatisation. | 'AccountAadTenantId' 'AccountAadUserId' 'AccountNTDomain' 'AccountName' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostNTDomain' 'HostName' 'HostNetBiosName' 'HostOSVersion' 'IPAddress' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
propertyValues | string[] |
PropertyArrayConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'PropertyArray' (obligatoire) | |
conditionProperties | AutomationRulePropertyArrayValuesCondition |
AutomationRulePropertyArrayValuesCondition
Nom | Description | Valeur |
---|---|---|
arrayConditionType | 'AnyItem' | |
arrayType | 'CustomDetailValues' 'CustomDetails' |
|
itemConditions | AutomationRuleCondition[] |
PropertyArrayChangedConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'PropertyArrayChanged' (obligatoire) | |
conditionProperties | AutomationRulePropertyArrayChangedValuesCondition |
AutomationRulePropertyArrayChangedValuesCondition
Nom | Description | Valeur |
---|---|---|
arrayType | 'Alertes' 'Commentaires' 'Labels' 'Tactiques' |
|
changeType | 'Added' |
PropertyChangedConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'PropertyChanged' (obligatoire) | |
conditionProperties | AutomationRulePropertyValuesChangedCondition |
AutomationRulePropertyValuesChangedCondition
Nom | Description | Valeur |
---|---|---|
changeType | 'ChangedFrom' 'ChangedTo' |
|
operator | 'Contains' 'EndsWith' 'Égal à' 'NotContains' 'NotEndsWith' NotEquals 'NotStartsWith' 'StartsWith' |
|
propertyName | 'IncidentOwner' 'IncidentSeverity' 'IncidentStatus' |
|
propertyValues | string[] |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
Modèle | Description |
---|---|
Crée une règle d’automatisation Microsoft Sentinel |
Cet exemple montre comment créer une règle d’automatisation dans Microsoft Sentinel |
Définition de ressources de modèle ARM
Le type de ressource automationRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la scope
propriété sur cette ressource pour définir l’étendue de cette ressource. Consultez Définir l’étendue des ressources d’extension dans les modèles ARM.
Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le json suivant à votre modèle.
{
"type": "Microsoft.SecurityInsights/automationRules",
"apiVersion": "2023-02-01-preview",
"name": "string",
"scope": "string",
"etag": "string",
"properties": {
"actions": [
{
"order": "int",
"actionType": "string"
// For remaining properties, see AutomationRuleAction objects
}
],
"displayName": "string",
"order": "int",
"triggeringLogic": {
"conditions": [
{
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
}
],
"expirationTimeUtc": "string",
"isEnabled": "bool",
"triggersOn": "string",
"triggersWhen": "string"
}
}
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour AddIncidentTask, utilisez :
"actionType": "AddIncidentTask",
"actionConfiguration": {
"description": "string",
"title": "string"
}
Pour ModifyProperties, utilisez :
"actionType": "ModifyProperties",
"actionConfiguration": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"labels": [
{
"labelName": "string"
}
],
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"ownerType": "string",
"userPrincipalName": "string"
},
"severity": "string",
"status": "string"
}
Pour RunPlaybook, utilisez :
"actionType": "RunPlaybook",
"actionConfiguration": {
"logicAppResourceId": "string",
"tenantId": "string"
}
Objets AutomationRuleCondition
Définissez la propriété conditionType pour spécifier le type d’objet.
Pour Boolean, utilisez :
"conditionType": "Boolean",
"conditionProperties": {
"innerConditions": [
{
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
}
],
"operator": "string"
}
Pour Propriété, utilisez :
"conditionType": "Property",
"conditionProperties": {
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
}
Pour PropertyArray, utilisez :
"conditionType": "PropertyArray",
"conditionProperties": {
"arrayConditionType": "AnyItem",
"arrayType": "string",
"itemConditions": [
{
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
}
Pour PropertyArrayChanged, utilisez :
"conditionType": "PropertyArrayChanged",
"conditionProperties": {
"arrayType": "string",
"changeType": "Added"
}
Pour PropertyChanged, utilisez :
"conditionType": "PropertyChanged",
"conditionProperties": {
"changeType": "string",
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
}
Valeurs de propriétés
automationRules
Nom | Description | Valeur |
---|---|---|
type | Type de ressource | 'Microsoft.SecurityInsights/automationRules' |
apiVersion | Version de l’API de ressource | '2023-02-01-preview' |
name | Nom de la ressource | string (obligatoire) |
scope | Utilisez lors de la création d’une ressource d’extension dans une étendue différente de l’étendue de déploiement. | Ressource cible Pour JSON, définissez la valeur sur le nom complet de la ressource à laquelle appliquer la ressource d’extension . |
etag | Etag de la ressource Azure | string |
properties | Propriétés de la règle Automation | AutomationRuleProperties (obligatoire) |
AutomationRuleProperties
Nom | Description | Valeur |
---|---|---|
actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée. | AutomationRuleAction[] (obligatoire) |
displayName | Nom complet de la règle d’automatisation. | string (obligatoire) |
order | Ordre d’exécution de la règle d’automatisation. | int (obligatoire) |
triggeringLogic | Décrit la logique de déclenchement d’une règle d’automatisation. | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRuleAction
Nom | Description | Valeur |
---|---|---|
order | int (obligatoire) | |
actionType | Définir le type d’objet | AddIncidentTask ModifyProperties RunPlaybook (obligatoire) |
AutomationRuleAddIncidentTaskAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | 'AddIncidentTask' (obligatoire) |
actionConfiguration | AddIncidentTaskActionProperties |
AddIncidentTaskActionProperties
Nom | Description | Valeur |
---|---|---|
description | Description de la tâche. | string |
title | Titre de la tâche. | string (obligatoire) |
AutomationRuleModifyPropertiesAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | 'ModifyProperties' (obligatoire) |
actionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
Nom | Description | Valeur |
---|---|---|
classification ; | La raison pour laquelle l’incident a été fermé | 'BenignPositive' 'FalsePositive' 'TruePositive' « Indéterminé » |
classificationComment | Décrit la raison pour laquelle l’incident a été fermé. | string |
classificationReason | La raison de classification pour laquelle l’incident a été fermé avec | 'InaccurateData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected' |
étiquettes | Liste des étiquettes à ajouter à l’incident. | IncidentLabel[] |
propriétaire | Informations sur l’utilisateur auquel un incident est attribué | IncidentOwnerInfo |
severity | Gravité de l’incident | 'High' 'Informational' 'Low' 'Medium' |
status | État de l’incident | 'Active' 'Fermé' 'New' |
IncidentLabel
Nom | Description | Valeur |
---|---|---|
labelName | Nom de l’étiquette | string (obligatoire) |
IncidentOwnerInfo
Nom | Description | Valeur |
---|---|---|
Affectéà | Nom de l’utilisateur auquel l’incident est affecté. | string |
E-mail de l’utilisateur auquel l’incident est affecté. | string | |
objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | string |
ownerType | Type du propriétaire auquel l’incident est affecté. | 'Group' 'Unknown' 'User' |
userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | string |
AutomationRuleRunPlaybookAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | 'RunPlaybook' (obligatoire) |
actionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
Nom | Description | Valeur |
---|---|---|
logicAppResourceId | ID de ressource de la ressource de playbook. | string |
tenantId | ID de locataire de la ressource de playbook. | string |
AutomationRuleTriggeringLogic
Nom | Description | Valeur |
---|---|---|
conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. | AutomationRuleCondition[] |
expirationTimeUtc | Détermine quand la règle d’automatisation doit automatiquement expirer et être désactivée. | string |
isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
triggersOn | 'Alertes' 'Incidents' (obligatoire) |
|
triggersWhen | 'Créé' 'Mis à jour' (obligatoire) |
AutomationRuleCondition
Nom | Description | Valeur |
---|---|---|
conditionType | Définir le type d’objet | Booléen Propriété PropertyArray PropertyArrayChanged PropertyChanged (obligatoire) |
BooleanConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'Boolean' (obligatoire) | |
conditionProperties | AutomationRuleBooleanCondition |
AutomationRuleBooleanCondition
Nom | Description | Valeur |
---|---|---|
innerConditions | AutomationRuleCondition[] | |
operator | 'Et' 'Or' |
PropertyConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'Property' (obligatoire) | |
conditionProperties | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
Nom | Description | Valeur |
---|---|---|
operator | 'Contient' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
propertyName | Propriété à évaluer dans une condition de propriété de règle d’automatisation. | 'AccountAadTenantId' 'AccountAadUserId' 'AccountNTDomain' 'AccountName' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostNTDomain' 'HostName' 'HostNetBiosName' 'HostOSVersion' 'IPAddress' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
propertyValues | string[] |
PropertyArrayConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'PropertyArray' (obligatoire) | |
conditionProperties | AutomationRulePropertyArrayValuesCondition |
AutomationRulePropertyArrayValuesCondition
Nom | Description | Valeur |
---|---|---|
arrayConditionType | 'AnyItem' | |
arrayType | 'CustomDetailValues' 'CustomDetails' |
|
itemConditions | AutomationRuleCondition[] |
PropertyArrayChangedConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'PropertyArrayChanged' (obligatoire) | |
conditionProperties | AutomationRulePropertyArrayChangedValuesCondition |
AutomationRulePropertyArrayChangedValuesCondition
Nom | Description | Valeur |
---|---|---|
arrayType | 'Alertes' 'Commentaires' 'Labels' 'Tactiques' |
|
changeType | 'Added' |
PropertyChangedConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | 'PropertyChanged' (obligatoire) | |
conditionProperties | AutomationRulePropertyValuesChangedCondition |
AutomationRulePropertyValuesChangedCondition
Nom | Description | Valeur |
---|---|---|
changeType | 'ChangedFrom' 'ChangedTo' |
|
operator | 'Contains' 'EndsWith' 'Égal à' 'NotContains' 'NotEndsWith' NotEquals 'NotStartsWith' 'StartsWith' |
|
propertyName | 'IncidentOwner' 'IncidentSeverity' 'IncidentStatus' |
|
propertyValues | string[] |
Modèles de démarrage rapide
Les modèles de démarrage rapide suivants déploient ce type de ressource.
Modèle | Description |
---|---|
Crée une règle d’automatisation Microsoft Sentinel |
Cet exemple montre comment créer une règle d’automatisation dans Microsoft Sentinel |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource automationRules est une ressource d’extension, ce qui signifie que vous pouvez l’appliquer à une autre ressource.
Utilisez la parent_id
propriété sur cette ressource pour définir l’étendue de cette ressource.
Pour obtenir la liste des propriétés modifiées dans chaque version d’API, consultez journal des modifications.
Format des ressources
Pour créer une ressource Microsoft.SecurityInsights/automationRules, ajoutez le Terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/automationRules@2023-02-01-preview"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
actions = [
{
order = int
actionType = "string"
// For remaining properties, see AutomationRuleAction objects
}
]
displayName = "string"
order = int
triggeringLogic = {
conditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc = "string"
isEnabled = bool
triggersOn = "string"
triggersWhen = "string"
}
}
etag = "string"
})
}
Objets AutomationRuleAction
Définissez la propriété actionType pour spécifier le type d’objet.
Pour AddIncidentTask, utilisez :
actionType = "AddIncidentTask"
actionConfiguration = {
description = "string"
title = "string"
}
Pour ModifyProperties, utilisez :
actionType = "ModifyProperties"
actionConfiguration = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
labels = [
{
labelName = "string"
}
]
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
ownerType = "string"
userPrincipalName = "string"
}
severity = "string"
status = "string"
}
Pour RunPlaybook, utilisez :
actionType = "RunPlaybook"
actionConfiguration = {
logicAppResourceId = "string"
tenantId = "string"
}
Objets AutomationRuleCondition
Définissez la propriété conditionType pour spécifier le type d’objet.
Pour Boolean, utilisez :
conditionType = "Boolean"
conditionProperties = {
innerConditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
operator = "string"
}
Pour Propriété, utilisez :
conditionType = "Property"
conditionProperties = {
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
Pour PropertyArray, utilisez :
conditionType = "PropertyArray"
conditionProperties = {
arrayConditionType = "AnyItem"
arrayType = "string"
itemConditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
}
Pour PropertyArrayChanged, utilisez :
conditionType = "PropertyArrayChanged"
conditionProperties = {
arrayType = "string"
changeType = "Added"
}
Pour PropertyChanged, utilisez :
conditionType = "PropertyChanged"
conditionProperties = {
changeType = "string"
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
Valeurs de propriétés
automationRules
Nom | Description | Valeur |
---|---|---|
type | Type de ressource | « Microsoft.SecurityInsights/automationRules@2023-02-01-preview » |
name | Nom de la ressource | chaîne (obligatoire) |
parent_id | ID de la ressource à laquelle appliquer cette ressource d’extension. | chaîne (obligatoire) |
etag | Etag de la ressource Azure | string |
properties | Propriétés de règle Automation | AutomationRuleProperties (obligatoire) |
AutomationRuleProperties
Nom | Description | Valeur |
---|---|---|
actions | Actions à exécuter lorsque la règle d’automatisation est déclenchée. | AutomationRuleAction[] (obligatoire) |
displayName | Nom d’affichage de la règle d’automatisation. | chaîne (obligatoire) |
order | Ordre d’exécution de la règle d’automatisation. | int (obligatoire) |
triggeringLogic | Décrit la logique de déclenchement des règles d’automatisation. | AutomationRuleTriggeringLogic (obligatoire) |
AutomationRuleAction
Nom | Description | Valeur |
---|---|---|
order | int (obligatoire) | |
actionType | Définir le type d’objet | AddIncidentTask ModifyProperties RunPlaybook (obligatoire) |
AutomationRuleAddIncidentTaskAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | « AddIncidentTask » (obligatoire) |
actionConfiguration | AddIncidentTaskActionProperties |
AddIncidentTaskActionProperties
Nom | Description | Valeur |
---|---|---|
description | Description de la tâche. | string |
title | Titre de la tâche. | chaîne (obligatoire) |
AutomationRuleModifyPropertiesAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | « ModifyProperties » (obligatoire) |
actionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
Nom | Description | Valeur |
---|---|---|
classification ; | La raison pour laquelle l’incident a été fermé | « BenignPositive » « FalsePositive » « TruePositive » « Non déterminé » |
classificationComment | Décrit la raison pour laquelle l’incident a été fermé. | string |
classificationReason | Classification de la raison pour laquelle l’incident a été fermé | « ExactitudeData » « IncorrectAlertLogic » « Activité suspecte » « SuspectButExpected » |
étiquettes | Liste des étiquettes à ajouter à l’incident. | IncidentLabel[] |
propriétaire | Informations sur l’utilisateur auquel un incident est attribué | IncidentOwnerInfo |
severity | Gravité de l’incident | "High" « Informationnel » "Low" « Moyen » |
status | État de l’incident | « Actif » « Closed » « Nouveau » |
IncidentLabel
Nom | Description | Valeur |
---|---|---|
labelName | Nom de l’étiquette | string (obligatoire) |
IncidentOwnerInfo
Nom | Description | Valeur |
---|---|---|
Affectéà | Nom de l’utilisateur auquel l’incident est affecté. | string |
E-mail de l’utilisateur auquel l’incident est affecté. | string | |
objectId | ID d’objet de l’utilisateur auquel l’incident est affecté. | string |
ownerType | Type du propriétaire auquel l’incident est affecté. | « Groupe » « Inconnu » « Utilisateur » |
userPrincipalName | Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. | string |
AutomationRuleRunPlaybookAction
Nom | Description | Valeur |
---|---|---|
actionType | Type de l’action de règle d’automatisation. | « RunPlaybook » (obligatoire) |
actionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
Nom | Description | Valeur |
---|---|---|
logicAppResourceId | ID de ressource de la ressource de playbook. | string |
tenantId | ID de locataire de la ressource de playbook. | string |
AutomationRuleTriggeringLogic
Nom | Description | Valeur |
---|---|---|
conditions | Conditions à évaluer pour déterminer si la règle d’automatisation doit être déclenchée sur un objet donné. | AutomationRuleCondition[] |
expirationTimeUtc | Détermine quand la règle d’automatisation doit automatiquement expirer et être désactivée. | string |
isEnabled | Détermine si la règle d’automatisation est activée ou désactivée. | bool (obligatoire) |
triggersOn | « Alertes » « Incidents » (obligatoire) |
|
triggersWhen | « Created » « Mis à jour » (obligatoire) |
AutomationRuleCondition
Nom | Description | Valeur |
---|---|---|
conditionType | Définir le type d’objet | Booléen Propriété PropertyArray PropertyArrayChanged PropertyChanged (obligatoire) |
BooleanConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | « Boolean » (obligatoire) | |
conditionProperties | AutomationRuleBooleanCondition |
AutomationRuleBooleanCondition
Nom | Description | Valeur |
---|---|---|
innerConditions | AutomationRuleCondition[] | |
operator | « Et » « Ou » |
PropertyConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | « Property » (obligatoire) | |
conditionProperties | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
Nom | Description | Valeur |
---|---|---|
operator | « Contains » « EndsWith » « Égal à » « NotContains » « NotEndsWith » « NotEquals » « NotStartsWith » « StartsWith » |
|
propertyName | Propriété à évaluer dans une condition de propriété de règle d’automatisation. | « AccountAadTenantId » « AccountAadUserId » « AccountNTDomain » « AccountName » « AccountObjectGuid » « AccountPUID » « AccountSid » « AccountUPNSuffix » « AlertAnalyticRuleIds » « AlertProductNames » « AzureResourceResourceId » « AzureResourceSubscriptionId » « CloudApplicationAppId » « CloudApplicationAppName » « DNSDomainName » « FileDirectory » « FileHashValue » « FileName » « HostAzureID » « HostNTDomain » « HostName » « HostNetBiosName » « HostOSVersion » « IPAddress » « IncidentCustomDetailsKey » « IncidentCustomDetailsValue » « IncidentDescription » « IncidentLabel » « IncidentProviderName » « IncidentRelatedAnalyticRuleIds » « IncidentSeverity » « IncidentStatus » « IncidentTactics » « IncidentTitle » « IncidentUpdatedBySource » « IoTDeviceId » « IoTDeviceModel » « IoTDeviceName » « IoTDeviceOperatingSystem » « IoTDeviceType » « IoTDeviceVendor » « MailMessageDeliveryAction » « MailMessageDeliveryLocation » « MailMessageP1Sender » « MailMessageP2Sender » « MailMessageRecipient » « MailMessageSenderIP » « MailMessageSubject » « MailboxDisplayName » « MailboxPrimaryAddress » « MailboxUPN » « MalwareCategory » « MalwareName » « ProcessCommandLine » « ProcessId » « RegistryKey » « RegistryValueData » « Url » |
propertyValues | string[] |
PropertyArrayConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | « PropertyArray » (obligatoire) | |
conditionProperties | AutomationRulePropertyArrayValuesCondition |
AutomationRulePropertyArrayValuesCondition
Nom | Description | Valeur |
---|---|---|
arrayConditionType | « AnyItem » | |
arrayType | « CustomDetailValues » « CustomDetails » |
|
itemConditions | AutomationRuleCondition[] |
PropertyArrayChangedConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | « PropertyArrayChanged » (obligatoire) | |
conditionProperties | AutomationRulePropertyArrayChangedValuesCondition |
AutomationRulePropertyArrayChangedValuesCondition
Nom | Description | Valeur |
---|---|---|
arrayType | « Alertes » « Commentaires » « Étiquettes » « Tactiques » |
|
changeType | « Ajouté » |
PropertyChangedConditionProperties
Nom | Description | Valeur |
---|---|---|
conditionType | « PropertyChanged » (obligatoire) | |
conditionProperties | AutomationRulePropertyValuesChangedCondition |
AutomationRulePropertyValuesChangedCondition
Nom | Description | Valeur |
---|---|---|
changeType | « ChangedFrom » « ChangedTo » |
|
operator | « Contains » « EndsWith » « Égal à » « NotContains » « NotEndsWith » « NotEquals » « NotStartsWith » « StartsWith » |
|
propertyName | « IncidentOwner » « IncidentSeverity » « IncidentStatus » |
|
propertyValues | string[] |