Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
- Latest
- 2025-09-01
- 2025-07-01-preview
- 2025-06-01
- 2025-04-01-preview
- 2025-03-01
- 2025-01-01-preview
- 2024-10-01-preview
- 2024-09-01
- 2024-04-01-preview
- 2024-03-01
- 2024-01-01-preview
- 2023-12-01-preview
- 2023-11-01
- 2023-10-01-preview
- 2023-09-01-preview
- 2023-08-01-preview
- 2023-07-01-preview
- 2023-06-01-preview
- 2023-05-01-preview
- 2023-04-01-preview
- 2023-03-01-preview
- 2023-02-01
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2019-01-01-preview
Definizione di risorsa Bicep
Il tipo di risorsa automationRules può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato delle risorse
Per creare una risorsa Microsoft.SecurityInsights/automationRules, aggiungere il bicep seguente al modello.
resource symbolicname 'Microsoft.SecurityInsights/automationRules@2025-03-01' = {
scope: resourceSymbolicName or scope
etag: 'string'
name: 'string'
properties: {
actions: [
{
order: int
actionType: 'string'
// For remaining properties, see AutomationRuleAction objects
}
]
displayName: 'string'
order: int
triggeringLogic: {
conditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc: 'string'
isEnabled: bool
triggersOn: 'string'
triggersWhen: 'string'
}
}
}
Oggetti AutomationRuleAction
Impostare la proprietà actionType
Per AddIncidentTask, usare:
{
actionConfiguration: {
description: 'string'
title: 'string'
}
actionType: 'AddIncidentTask'
}
Per ModifyProperties, usare:
{
actionConfiguration: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
labels: [
{
labelName: 'string'
}
]
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
ownerType: 'string'
userPrincipalName: 'string'
}
severity: 'string'
status: 'string'
}
actionType: 'ModifyProperties'
}
Per RunPlaybook, usare:
{
actionConfiguration: {
logicAppResourceId: 'string'
tenantId: 'string'
}
actionType: 'RunPlaybook'
}
Oggetti AutomationRuleCondition
Impostare la proprietà conditionType
Per booleano, usare:
{
conditionProperties: {
innerConditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
operator: 'string'
}
conditionType: 'Boolean'
}
Per Proprietà, usare:
{
conditionProperties: {
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
conditionType: 'Property'
}
Per PropertyArray, usare:
{
conditionProperties: {
arrayConditionType: 'string'
arrayType: 'string'
itemConditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
}
conditionType: 'PropertyArray'
}
Per PropertyArrayChanged, usare:
{
conditionProperties: {
arrayType: 'string'
changeType: 'string'
}
conditionType: 'PropertyArrayChanged'
}
Per PropertyChanged, usare:
{
conditionProperties: {
changeType: 'string'
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
conditionType: 'PropertyChanged'
}
Valori delle proprietà
Microsoft.SecurityInsights/automationRules
| Name | Description | Value |
|---|---|---|
| etag | Etag della risorsa di Azure | string |
| name | Nome della risorsa | stringa (obbligatorio) |
| properties | Proprietà delle regole di automazione | AutomationRuleProperties (obbligatorio) |
| scope | Usare quando si crea una risorsa in un ambito diverso dall'ambito di distribuzione. | Impostare questa proprietà sul nome simbolico di una risorsa per applicare la risorsa di estensione . |
AddIncidentTaskActionProperties
| Name | Description | Value |
|---|---|---|
| description | Descrizione dell'attività. | string |
| title | Titolo dell'attività. | stringa (obbligatorio) |
AutomationRuleAction
| Name | Description | Value |
|---|---|---|
| actionType | Impostare su 'AddIncidentTask' per il tipo AutomationRuleAddIncidentTaskAction. Impostare su 'ModifyProperties' per il tipo AutomationRuleModifyPropertiesAction. Impostare su "RunPlaybook" per il tipo AutomationRuleRunPlaybookAction. | 'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obbligatorio) |
| order | int (obbligatorio) |
AutomationRuleAddIncidentTaskAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | Descrive un'azione della regola di automazione per aggiungere un'attività a un evento imprevisto. | AddIncidentTaskActionProperties |
| actionType | Tipo dell'azione della regola di automazione. | 'AddIncidentTask' (obbligatorio) |
AutomationRuleBooleanCondition
| Name | Description | Value |
|---|---|---|
| innerConditions | AutomationRuleCondition[] | |
| operator | Descrive un operatore di condizione booleano. | 'And' 'Or' |
AutomationRuleCondition
| Name | Description | Value |
|---|---|---|
| conditionType | Impostare su 'Boolean' per il tipo BooleanConditionProperties. Impostare su 'Property' per il tipo PropertyConditionProperties. Impostare su 'PropertyArray' per il tipo PropertyArrayConditionProperties. Impostare su 'PropertyArrayChanged' per il tipo PropertyArrayChangedConditionProperties. Impostare su 'PropertyChanged' per il tipo PropertyChangedConditionProperties. | 'Boolean' 'Property' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obbligatorio) |
AutomationRuleModifyPropertiesAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | IncidentPropertiesAction | |
| actionType | Tipo dell'azione della regola di automazione. | 'ModifyProperties' (obbligatorio) |
AutomationRuleProperties
| Name | Description | Value |
|---|---|---|
| actions | Azioni da eseguire quando viene attivata la regola di automazione. | AutomationRuleAction[] (obbligatorio) |
| displayName | Nome visualizzato della regola di automazione. | string Constraints: Lunghezza massima = 500 (obbligatorio) |
| order | Ordine di esecuzione della regola di automazione. | int Constraints: Valore minimo = 1 Valore massimo = 1000 (obbligatorio) |
| triggeringLogic | Descrive la logica di attivazione delle regole di automazione. | AutomationRuleTriggeringLogic (obbligatorio) |
AutomationRulePropertyArrayChangedValuesCondition
| Name | Description | Value |
|---|---|---|
| arrayType | 'Alerts' 'Comments' 'Labels' 'Tactics' |
|
| changeType | 'Added' |
AutomationRulePropertyArrayValuesCondition
| Name | Description | Value |
|---|---|---|
| arrayConditionType | Descrive un tipo di valutazione della condizione di matrice. | 'AnyItem' |
| arrayType | Descrive un tipo di matrice valutato in una condizione di matrice. | 'CustomDetails' 'CustomDetailValues' |
| itemConditions | AutomationRuleCondition[] |
AutomationRulePropertyValuesChangedCondition
| Name | Description | Value |
|---|---|---|
| changeType | 'ChangedFrom' 'ChangedTo' |
|
| operator | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | 'IncidentOwner' 'IncidentSeverity' 'IncidentStatus' |
|
| propertyValues | string[] |
AutomationRulePropertyValuesCondition
| Name | Description | Value |
|---|---|---|
| operator | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | Proprietà da valutare in una condizione di proprietà della regola di automazione. | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | string[] |
AutomationRuleRunPlaybookAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | PlaybookActionProperties | |
| actionType | Tipo dell'azione della regola di automazione. | 'RunPlaybook' (obbligatorio) |
AutomationRuleTriggeringLogic
| Name | Description | Value |
|---|---|---|
| conditions | Condizioni da valutare per determinare se la regola di automazione deve essere attivata in un determinato oggetto. | AutomationRuleCondition[] |
| expirationTimeUtc | Determina quando la regola di automazione deve scadere e essere disabilitata automaticamente. | string |
| isEnabled | Determina se la regola di automazione è abilitata o disabilitata. | bool (obbligatorio) |
| triggersOn | 'Alerts' 'Incidenti' (obbligatorio) |
|
| triggersWhen | 'Created' 'Aggiornato' (obbligatorio) |
BooleanConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | Descrive una condizione della regola di automazione con operatori booleani. | AutomationRuleBooleanCondition |
| conditionType | 'Booleano' (obbligatorio) |
IncidentLabel
| Name | Description | Value |
|---|---|---|
| labelName | Nome dell'etichetta | stringa (obbligatorio) |
IncidentOwnerInfo
| Name | Description | Value |
|---|---|---|
| assignedTo | Nome dell'utente a cui viene assegnato l'evento imprevisto. | string |
| Il messaggio di posta elettronica dell'utente a cui viene assegnato l'evento imprevisto. | string | |
| objectId | ID oggetto dell'utente a cui viene assegnato l'evento imprevisto. | string Constraints: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ownerType | Tipo di proprietario a cui viene assegnato l'evento imprevisto. | 'Group' 'Unknown' 'User' |
| userPrincipalName | Nome dell'entità utente dell'utente a cui viene assegnato l'evento imprevisto. | string |
IncidentPropertiesAction
| Name | Description | Value |
|---|---|---|
| classification | Il motivo per cui l'evento imprevisto è stato chiuso | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Undetermined' |
| classificationComment | Descrive il motivo per cui l'evento imprevisto è stato chiuso. | string |
| classificationReason | Motivo della classificazione con cui l'evento imprevisto è stato chiuso | 'InaccurateData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected' |
| labels | Elenco di etichette da aggiungere all'evento imprevisto. | IncidentLabel[] |
| owner | Le informazioni sull'utente a cui viene assegnato un evento imprevisto | IncidentOwnerInfo |
| severity | Gravità dell'evento imprevisto | 'High' 'Informational' 'Low' 'Medium' |
| status | Stato dell'evento imprevisto | 'Active' 'Closed' 'New' |
PlaybookActionProperties
| Name | Description | Value |
|---|---|---|
| logicAppResourceId | ID risorsa della risorsa playbook. | stringa (obbligatorio) |
| tenantId | ID tenant della risorsa del playbook. | string Constraints: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| conditionType | 'PropertyArrayChanged' (obbligatorio) |
PropertyArrayConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | Descrive una condizione della regola di automazione sulle proprietà della matrice. | AutomationRulePropertyArrayValuesCondition |
| conditionType | 'PropertyArray' (obbligatorio) |
PropertyChangedConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| conditionType | 'PropertyChanged' (obbligatorio) |
PropertyConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| conditionType | 'Proprietà' (obbligatorio) |
Esempi di utilizzo
Esempi bicep
Un esempio di base di distribuzione della regola di automazione Sentinel.
param resourceName string = 'acctest0001'
param location string = 'westeurope'
resource automationRule 'Microsoft.SecurityInsights/automationRules@2022-10-01-preview' = {
scope: workspace
name: '3b862818-ad7b-409e-83be-8812f2a06d37'
properties: {
actions: [
{
actionConfiguration: {
classification: ''
classificationComment: ''
classificationReason: ''
severity: ''
status: 'Active'
}
actionType: 'ModifyProperties'
order: 1
}
]
displayName: 'acctest-SentinelAutoRule-230630033910945846'
order: 1
triggeringLogic: {
isEnabled: true
triggersOn: 'Incidents'
triggersWhen: 'Created'
}
}
dependsOn: [
onboardingState
]
}
resource onboardingState 'Microsoft.SecurityInsights/onboardingStates@2023-06-01-preview' = {
scope: workspace
name: 'default'
properties: {
customerManagedKey: false
}
}
resource workspace 'Microsoft.OperationalInsights/workspaces@2022-10-01' = {
name: resourceName
location: location
properties: {
features: {
disableLocalAuth: false
enableLogAccessUsingOnlyResourcePermissions: true
}
publicNetworkAccessForIngestion: 'Enabled'
publicNetworkAccessForQuery: 'Enabled'
retentionInDays: 30
sku: {
name: 'PerGB2018'
}
workspaceCapping: {
dailyQuotaGb: -1
}
}
}
Definizione di risorsa del modello di Resource Manager
Il tipo di risorsa automationRules può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato delle risorse
Per creare una risorsa Microsoft.SecurityInsights/automationRules, aggiungere il codice JSON seguente al modello.
{
"type": "Microsoft.SecurityInsights/automationRules",
"apiVersion": "2025-03-01",
"name": "string",
"etag": "string",
"properties": {
"actions": [ {
"order": "int",
"actionType": "string"
// For remaining properties, see AutomationRuleAction objects
} ],
"displayName": "string",
"order": "int",
"triggeringLogic": {
"conditions": [ {
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
} ],
"expirationTimeUtc": "string",
"isEnabled": "bool",
"triggersOn": "string",
"triggersWhen": "string"
}
}
}
Oggetti AutomationRuleAction
Impostare la proprietà actionType
Per AddIncidentTask, usare:
{
"actionConfiguration": {
"description": "string",
"title": "string"
},
"actionType": "AddIncidentTask"
}
Per ModifyProperties, usare:
{
"actionConfiguration": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"labels": [
{
"labelName": "string"
}
],
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"ownerType": "string",
"userPrincipalName": "string"
},
"severity": "string",
"status": "string"
},
"actionType": "ModifyProperties"
}
Per RunPlaybook, usare:
{
"actionConfiguration": {
"logicAppResourceId": "string",
"tenantId": "string"
},
"actionType": "RunPlaybook"
}
Oggetti AutomationRuleCondition
Impostare la proprietà conditionType
Per booleano, usare:
{
"conditionProperties": {
"innerConditions": [ {
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
} ],
"operator": "string"
},
"conditionType": "Boolean"
}
Per Proprietà, usare:
{
"conditionProperties": {
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
},
"conditionType": "Property"
}
Per PropertyArray, usare:
{
"conditionProperties": {
"arrayConditionType": "string",
"arrayType": "string",
"itemConditions": [ {
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
} ]
},
"conditionType": "PropertyArray"
}
Per PropertyArrayChanged, usare:
{
"conditionProperties": {
"arrayType": "string",
"changeType": "string"
},
"conditionType": "PropertyArrayChanged"
}
Per PropertyChanged, usare:
{
"conditionProperties": {
"changeType": "string",
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
},
"conditionType": "PropertyChanged"
}
Valori delle proprietà
Microsoft.SecurityInsights/automationRules
| Name | Description | Value |
|---|---|---|
| apiVersion | Versione dell'API | '2025-03-01' |
| etag | Etag della risorsa di Azure | string |
| name | Nome della risorsa | stringa (obbligatorio) |
| properties | Proprietà delle regole di automazione | AutomationRuleProperties (obbligatorio) |
| type | Tipo di risorsa | 'Microsoft.SecurityInsights/automationRules' |
AddIncidentTaskActionProperties
| Name | Description | Value |
|---|---|---|
| description | Descrizione dell'attività. | string |
| title | Titolo dell'attività. | stringa (obbligatorio) |
AutomationRuleAction
| Name | Description | Value |
|---|---|---|
| actionType | Impostare su 'AddIncidentTask' per il tipo AutomationRuleAddIncidentTaskAction. Impostare su 'ModifyProperties' per il tipo AutomationRuleModifyPropertiesAction. Impostare su "RunPlaybook" per il tipo AutomationRuleRunPlaybookAction. | 'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obbligatorio) |
| order | int (obbligatorio) |
AutomationRuleAddIncidentTaskAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | Descrive un'azione della regola di automazione per aggiungere un'attività a un evento imprevisto. | AddIncidentTaskActionProperties |
| actionType | Tipo dell'azione della regola di automazione. | 'AddIncidentTask' (obbligatorio) |
AutomationRuleBooleanCondition
| Name | Description | Value |
|---|---|---|
| innerConditions | AutomationRuleCondition[] | |
| operator | Descrive un operatore di condizione booleano. | 'And' 'Or' |
AutomationRuleCondition
| Name | Description | Value |
|---|---|---|
| conditionType | Impostare su 'Boolean' per il tipo BooleanConditionProperties. Impostare su 'Property' per il tipo PropertyConditionProperties. Impostare su 'PropertyArray' per il tipo PropertyArrayConditionProperties. Impostare su 'PropertyArrayChanged' per il tipo PropertyArrayChangedConditionProperties. Impostare su 'PropertyChanged' per il tipo PropertyChangedConditionProperties. | 'Boolean' 'Property' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obbligatorio) |
AutomationRuleModifyPropertiesAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | IncidentPropertiesAction | |
| actionType | Tipo dell'azione della regola di automazione. | 'ModifyProperties' (obbligatorio) |
AutomationRuleProperties
| Name | Description | Value |
|---|---|---|
| actions | Azioni da eseguire quando viene attivata la regola di automazione. | AutomationRuleAction[] (obbligatorio) |
| displayName | Nome visualizzato della regola di automazione. | string Constraints: Lunghezza massima = 500 (obbligatorio) |
| order | Ordine di esecuzione della regola di automazione. | int Constraints: Valore minimo = 1 Valore massimo = 1000 (obbligatorio) |
| triggeringLogic | Descrive la logica di attivazione delle regole di automazione. | AutomationRuleTriggeringLogic (obbligatorio) |
AutomationRulePropertyArrayChangedValuesCondition
| Name | Description | Value |
|---|---|---|
| arrayType | 'Alerts' 'Comments' 'Labels' 'Tactics' |
|
| changeType | 'Added' |
AutomationRulePropertyArrayValuesCondition
| Name | Description | Value |
|---|---|---|
| arrayConditionType | Descrive un tipo di valutazione della condizione di matrice. | 'AnyItem' |
| arrayType | Descrive un tipo di matrice valutato in una condizione di matrice. | 'CustomDetails' 'CustomDetailValues' |
| itemConditions | AutomationRuleCondition[] |
AutomationRulePropertyValuesChangedCondition
| Name | Description | Value |
|---|---|---|
| changeType | 'ChangedFrom' 'ChangedTo' |
|
| operator | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | 'IncidentOwner' 'IncidentSeverity' 'IncidentStatus' |
|
| propertyValues | string[] |
AutomationRulePropertyValuesCondition
| Name | Description | Value |
|---|---|---|
| operator | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | Proprietà da valutare in una condizione di proprietà della regola di automazione. | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | string[] |
AutomationRuleRunPlaybookAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | PlaybookActionProperties | |
| actionType | Tipo dell'azione della regola di automazione. | 'RunPlaybook' (obbligatorio) |
AutomationRuleTriggeringLogic
| Name | Description | Value |
|---|---|---|
| conditions | Condizioni da valutare per determinare se la regola di automazione deve essere attivata in un determinato oggetto. | AutomationRuleCondition[] |
| expirationTimeUtc | Determina quando la regola di automazione deve scadere e essere disabilitata automaticamente. | string |
| isEnabled | Determina se la regola di automazione è abilitata o disabilitata. | bool (obbligatorio) |
| triggersOn | 'Alerts' 'Incidenti' (obbligatorio) |
|
| triggersWhen | 'Created' 'Aggiornato' (obbligatorio) |
BooleanConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | Descrive una condizione della regola di automazione con operatori booleani. | AutomationRuleBooleanCondition |
| conditionType | 'Booleano' (obbligatorio) |
IncidentLabel
| Name | Description | Value |
|---|---|---|
| labelName | Nome dell'etichetta | stringa (obbligatorio) |
IncidentOwnerInfo
| Name | Description | Value |
|---|---|---|
| assignedTo | Nome dell'utente a cui viene assegnato l'evento imprevisto. | string |
| Il messaggio di posta elettronica dell'utente a cui viene assegnato l'evento imprevisto. | string | |
| objectId | ID oggetto dell'utente a cui viene assegnato l'evento imprevisto. | string Constraints: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ownerType | Tipo di proprietario a cui viene assegnato l'evento imprevisto. | 'Group' 'Unknown' 'User' |
| userPrincipalName | Nome dell'entità utente dell'utente a cui viene assegnato l'evento imprevisto. | string |
IncidentPropertiesAction
| Name | Description | Value |
|---|---|---|
| classification | Il motivo per cui l'evento imprevisto è stato chiuso | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Undetermined' |
| classificationComment | Descrive il motivo per cui l'evento imprevisto è stato chiuso. | string |
| classificationReason | Motivo della classificazione con cui l'evento imprevisto è stato chiuso | 'InaccurateData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected' |
| labels | Elenco di etichette da aggiungere all'evento imprevisto. | IncidentLabel[] |
| owner | Le informazioni sull'utente a cui viene assegnato un evento imprevisto | IncidentOwnerInfo |
| severity | Gravità dell'evento imprevisto | 'High' 'Informational' 'Low' 'Medium' |
| status | Stato dell'evento imprevisto | 'Active' 'Closed' 'New' |
PlaybookActionProperties
| Name | Description | Value |
|---|---|---|
| logicAppResourceId | ID risorsa della risorsa playbook. | stringa (obbligatorio) |
| tenantId | ID tenant della risorsa del playbook. | string Constraints: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| conditionType | 'PropertyArrayChanged' (obbligatorio) |
PropertyArrayConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | Descrive una condizione della regola di automazione sulle proprietà della matrice. | AutomationRulePropertyArrayValuesCondition |
| conditionType | 'PropertyArray' (obbligatorio) |
PropertyChangedConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| conditionType | 'PropertyChanged' (obbligatorio) |
PropertyConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| conditionType | 'Proprietà' (obbligatorio) |
Esempi di utilizzo
Modelli di avvio rapido di Azure
I modelli di avvio rapido di Azure seguenti distribuire questo tipo di risorsa.
| Template | Description |
|---|---|
Crea una nuova regola di automazione di Microsoft Sentinel
|
Questo esempio illustra come creare una nuova regola di automazione in Microsoft Sentinel |
Definizione di risorsa Terraform (provider AzAPI)
Il tipo di risorsa automationRules può essere distribuito con operazioni destinate a:
Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.
Formato delle risorse
Per creare una risorsa Microsoft.SecurityInsights/automationRules, aggiungere il codice Terraform seguente al modello.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/automationRules@2025-03-01"
name = "string"
parent_id = "string"
body = {
etag = "string"
properties = {
actions = [
{
order = int
actionType = "string"
// For remaining properties, see AutomationRuleAction objects
}
]
displayName = "string"
order = int
triggeringLogic = {
conditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc = "string"
isEnabled = bool
triggersOn = "string"
triggersWhen = "string"
}
}
}
}
Oggetti AutomationRuleAction
Impostare la proprietà actionType
Per AddIncidentTask, usare:
{
actionConfiguration = {
description = "string"
title = "string"
}
actionType = "AddIncidentTask"
}
Per ModifyProperties, usare:
{
actionConfiguration = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
labels = [
{
labelName = "string"
}
]
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
ownerType = "string"
userPrincipalName = "string"
}
severity = "string"
status = "string"
}
actionType = "ModifyProperties"
}
Per RunPlaybook, usare:
{
actionConfiguration = {
logicAppResourceId = "string"
tenantId = "string"
}
actionType = "RunPlaybook"
}
Oggetti AutomationRuleCondition
Impostare la proprietà conditionType
Per booleano, usare:
{
conditionProperties = {
innerConditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
operator = "string"
}
conditionType = "Boolean"
}
Per Proprietà, usare:
{
conditionProperties = {
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
conditionType = "Property"
}
Per PropertyArray, usare:
{
conditionProperties = {
arrayConditionType = "string"
arrayType = "string"
itemConditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
}
conditionType = "PropertyArray"
}
Per PropertyArrayChanged, usare:
{
conditionProperties = {
arrayType = "string"
changeType = "string"
}
conditionType = "PropertyArrayChanged"
}
Per PropertyChanged, usare:
{
conditionProperties = {
changeType = "string"
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
conditionType = "PropertyChanged"
}
Valori delle proprietà
Microsoft.SecurityInsights/automationRules
| Name | Description | Value |
|---|---|---|
| etag | Etag della risorsa di Azure | string |
| name | Nome della risorsa | stringa (obbligatorio) |
| parent_id | ID della risorsa a cui applicare la risorsa di estensione. | stringa (obbligatorio) |
| properties | Proprietà delle regole di automazione | AutomationRuleProperties (obbligatorio) |
| type | Tipo di risorsa | "Microsoft.SecurityInsights/automationRules@2025-03-01" |
AddIncidentTaskActionProperties
| Name | Description | Value |
|---|---|---|
| description | Descrizione dell'attività. | string |
| title | Titolo dell'attività. | stringa (obbligatorio) |
AutomationRuleAction
| Name | Description | Value |
|---|---|---|
| actionType | Impostare su 'AddIncidentTask' per il tipo AutomationRuleAddIncidentTaskAction. Impostare su 'ModifyProperties' per il tipo AutomationRuleModifyPropertiesAction. Impostare su "RunPlaybook" per il tipo AutomationRuleRunPlaybookAction. | 'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (obbligatorio) |
| order | int (obbligatorio) |
AutomationRuleAddIncidentTaskAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | Descrive un'azione della regola di automazione per aggiungere un'attività a un evento imprevisto. | AddIncidentTaskActionProperties |
| actionType | Tipo dell'azione della regola di automazione. | 'AddIncidentTask' (obbligatorio) |
AutomationRuleBooleanCondition
| Name | Description | Value |
|---|---|---|
| innerConditions | AutomationRuleCondition[] | |
| operator | Descrive un operatore di condizione booleano. | 'And' 'Or' |
AutomationRuleCondition
| Name | Description | Value |
|---|---|---|
| conditionType | Impostare su 'Boolean' per il tipo BooleanConditionProperties. Impostare su 'Property' per il tipo PropertyConditionProperties. Impostare su 'PropertyArray' per il tipo PropertyArrayConditionProperties. Impostare su 'PropertyArrayChanged' per il tipo PropertyArrayChangedConditionProperties. Impostare su 'PropertyChanged' per il tipo PropertyChangedConditionProperties. | 'Boolean' 'Property' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (obbligatorio) |
AutomationRuleModifyPropertiesAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | IncidentPropertiesAction | |
| actionType | Tipo dell'azione della regola di automazione. | 'ModifyProperties' (obbligatorio) |
AutomationRuleProperties
| Name | Description | Value |
|---|---|---|
| actions | Azioni da eseguire quando viene attivata la regola di automazione. | AutomationRuleAction[] (obbligatorio) |
| displayName | Nome visualizzato della regola di automazione. | string Constraints: Lunghezza massima = 500 (obbligatorio) |
| order | Ordine di esecuzione della regola di automazione. | int Constraints: Valore minimo = 1 Valore massimo = 1000 (obbligatorio) |
| triggeringLogic | Descrive la logica di attivazione delle regole di automazione. | AutomationRuleTriggeringLogic (obbligatorio) |
AutomationRulePropertyArrayChangedValuesCondition
| Name | Description | Value |
|---|---|---|
| arrayType | 'Alerts' 'Comments' 'Labels' 'Tactics' |
|
| changeType | 'Added' |
AutomationRulePropertyArrayValuesCondition
| Name | Description | Value |
|---|---|---|
| arrayConditionType | Descrive un tipo di valutazione della condizione di matrice. | 'AnyItem' |
| arrayType | Descrive un tipo di matrice valutato in una condizione di matrice. | 'CustomDetails' 'CustomDetailValues' |
| itemConditions | AutomationRuleCondition[] |
AutomationRulePropertyValuesChangedCondition
| Name | Description | Value |
|---|---|---|
| changeType | 'ChangedFrom' 'ChangedTo' |
|
| operator | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | 'IncidentOwner' 'IncidentSeverity' 'IncidentStatus' |
|
| propertyValues | string[] |
AutomationRulePropertyValuesCondition
| Name | Description | Value |
|---|---|---|
| operator | 'Contains' 'EndsWith' 'Equals' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith' |
|
| propertyName | Proprietà da valutare in una condizione di proprietà della regola di automazione. | 'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'FileName' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url' |
| propertyValues | string[] |
AutomationRuleRunPlaybookAction
| Name | Description | Value |
|---|---|---|
| actionConfiguration | PlaybookActionProperties | |
| actionType | Tipo dell'azione della regola di automazione. | 'RunPlaybook' (obbligatorio) |
AutomationRuleTriggeringLogic
| Name | Description | Value |
|---|---|---|
| conditions | Condizioni da valutare per determinare se la regola di automazione deve essere attivata in un determinato oggetto. | AutomationRuleCondition[] |
| expirationTimeUtc | Determina quando la regola di automazione deve scadere e essere disabilitata automaticamente. | string |
| isEnabled | Determina se la regola di automazione è abilitata o disabilitata. | bool (obbligatorio) |
| triggersOn | 'Alerts' 'Incidenti' (obbligatorio) |
|
| triggersWhen | 'Created' 'Aggiornato' (obbligatorio) |
BooleanConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | Descrive una condizione della regola di automazione con operatori booleani. | AutomationRuleBooleanCondition |
| conditionType | 'Booleano' (obbligatorio) |
IncidentLabel
| Name | Description | Value |
|---|---|---|
| labelName | Nome dell'etichetta | stringa (obbligatorio) |
IncidentOwnerInfo
| Name | Description | Value |
|---|---|---|
| assignedTo | Nome dell'utente a cui viene assegnato l'evento imprevisto. | string |
| Il messaggio di posta elettronica dell'utente a cui viene assegnato l'evento imprevisto. | string | |
| objectId | ID oggetto dell'utente a cui viene assegnato l'evento imprevisto. | string Constraints: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ownerType | Tipo di proprietario a cui viene assegnato l'evento imprevisto. | 'Group' 'Unknown' 'User' |
| userPrincipalName | Nome dell'entità utente dell'utente a cui viene assegnato l'evento imprevisto. | string |
IncidentPropertiesAction
| Name | Description | Value |
|---|---|---|
| classification | Il motivo per cui l'evento imprevisto è stato chiuso | 'BenignPositive' 'FalsePositive' 'TruePositive' 'Undetermined' |
| classificationComment | Descrive il motivo per cui l'evento imprevisto è stato chiuso. | string |
| classificationReason | Motivo della classificazione con cui l'evento imprevisto è stato chiuso | 'InaccurateData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected' |
| labels | Elenco di etichette da aggiungere all'evento imprevisto. | IncidentLabel[] |
| owner | Le informazioni sull'utente a cui viene assegnato un evento imprevisto | IncidentOwnerInfo |
| severity | Gravità dell'evento imprevisto | 'High' 'Informational' 'Low' 'Medium' |
| status | Stato dell'evento imprevisto | 'Active' 'Closed' 'New' |
PlaybookActionProperties
| Name | Description | Value |
|---|---|---|
| logicAppResourceId | ID risorsa della risorsa playbook. | stringa (obbligatorio) |
| tenantId | ID tenant della risorsa del playbook. | string Constraints: Lunghezza minima = 36 Lunghezza massima = 36 Modello = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| conditionType | 'PropertyArrayChanged' (obbligatorio) |
PropertyArrayConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | Descrive una condizione della regola di automazione sulle proprietà della matrice. | AutomationRulePropertyArrayValuesCondition |
| conditionType | 'PropertyArray' (obbligatorio) |
PropertyChangedConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| conditionType | 'PropertyChanged' (obbligatorio) |
PropertyConditionProperties
| Name | Description | Value |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| conditionType | 'Proprietà' (obbligatorio) |
Esempi di utilizzo
Esempi di Terraform
Un esempio di base di distribuzione della regola di automazione Sentinel.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "workspace" {
type = "Microsoft.OperationalInsights/workspaces@2022-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
features = {
disableLocalAuth = false
enableLogAccessUsingOnlyResourcePermissions = true
}
publicNetworkAccessForIngestion = "Enabled"
publicNetworkAccessForQuery = "Enabled"
retentionInDays = 30
sku = {
name = "PerGB2018"
}
workspaceCapping = {
dailyQuotaGb = -1
}
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
resource "azapi_resource" "onboardingState" {
type = "Microsoft.SecurityInsights/onboardingStates@2023-06-01-preview"
parent_id = azapi_resource.workspace.id
name = "default"
body = {
properties = {
customerManagedKey = false
}
}
}
resource "azapi_resource" "automationRule" {
type = "Microsoft.SecurityInsights/automationRules@2022-10-01-preview"
parent_id = azapi_resource.workspace.id
name = "3b862818-ad7b-409e-83be-8812f2a06d37"
body = {
properties = {
actions = [
{
actionConfiguration = {
classification = ""
classificationComment = ""
classificationReason = ""
severity = ""
status = "Active"
}
actionType = "ModifyProperties"
order = 1
},
]
displayName = "acctest-SentinelAutoRule-230630033910945846"
order = 1
triggeringLogic = {
isEnabled = true
triggersOn = "Incidents"
triggersWhen = "Created"
}
}
}
schema_validation_enabled = false
response_export_values = ["*"]
depends_on = [azapi_resource.onboardingState]
}