Alert Rule Templates - List
すべてのアラート ルール テンプレートを取得します。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates?api-version=2024-03-01URI パラメーター
| 名前 | / | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
resource
|
path | True |
string |
リソース グループの名前。 名前の大文字と小文字は区別されます。 |
|
subscription
|
path | True |
string |
ターゲット サブスクリプションの ID。 |
|
workspace
|
path | True |
string |
ワークスペースの名前。 Regex pattern: |
|
api-version
|
query | True |
string |
この操作に使用する API バージョン。 |
応答
| 名前 | 型 | 説明 |
|---|---|---|
| 200 OK |
OK、操作が正常に完了しました |
|
| Other Status Codes |
操作に失敗した理由を説明するエラー応答。 |
セキュリティ
azure_auth
Azure Active Directory OAuth2 フロー
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| 名前 | 説明 |
|---|---|
| user_impersonation | ユーザー アカウントの借用 |
例
Get all alert rule templates.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
"name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Scheduled",
"properties": {
"severity": "Low",
"query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
"queryFrequency": "P1D",
"queryPeriod": "P1D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"displayName": "Changes to Amazon VPC settings",
"description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
"tactics": [
"PrivilegeEscalation",
"LateralMovement"
],
"lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
"createdDateUTC": "2019-02-27T00:00:00Z",
"status": "Available",
"version": "1.0.1",
"requiredDataConnectors": [
{
"connectorId": "AWS",
"dataTypes": [
"AWSCloudTrail"
]
}
],
"alertRulesCreatedByTemplateCount": 0
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/f71aba3d-28fb-450b-b192-4e76a83015c8",
"name": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "Place holder: Fusion uses graph powered machine learning algorithms to correlate between millions of lower fidelity anomalous activities from different products such as Azure AD Identity Protection, and Microsoft Cloud App Security, to combine them into a manageable number of interesting security cases.\n",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"lastUpdatedDateUTC": "2021-03-27T10:00:00Z",
"createdDateUTC": "2019-07-25T00:00:00Z",
"status": "Available",
"severity": "High",
"alertRulesCreatedByTemplateCount": 0
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/b3cfc7c0-092c-481c-a55b-34a3979758cb",
"name": "b3cfc7c0-092c-481c-a55b-34a3979758cb",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"displayName": "Create incidents based on Microsoft Cloud App Security alerts",
"description": "Create incidents based on all alerts generated in Microsoft Cloud App Security",
"lastUpdatedDateUTC": "2021-05-27T10:00:00Z",
"createdDateUTC": "2019-07-16T00:00:00Z",
"status": "Available",
"alertRulesCreatedByTemplateCount": 0
}
}
]
}定義
| 名前 | 説明 |
|---|---|
|
Alert |
アラートの静的な詳細を動的にオーバーライドする方法の設定 |
|
Alert |
V3 アラート プロパティ |
|
Alert |
オーバーライドする 1 つのアラート プロパティ マッピング |
|
Alert |
アラート ルール テンプレートのデータ ソース |
|
Alert |
すべてのアラート ルール テンプレートを一覧表示します。 |
|
Alert |
このアラート ルールによって作成されたアラートの重大度。 |
|
Attack |
このアラート ルールによって作成されたアラートの重大度。 |
|
Cloud |
エラー応答の構造。 |
|
Cloud |
エラーの詳細。 |
|
created |
リソースを作成した ID の種類。 |
|
Entity |
アラート ルールの単一エンティティ マッピング |
|
Entity |
マップされたエンティティの V3 型 |
|
Event |
イベント グループの集計の種類 |
|
Event |
イベント グループ化設定プロパティ バッグ。 |
|
Field |
マップされたエンティティの 1 つのフィールド マッピング |
|
Fusion |
Fusion アラート ルール テンプレートを表します。 |
|
Microsoft |
MicrosoftSecurityIncidentCreation ルール テンプレートを表します。 |
|
Microsoft |
ケースが生成されるアラートの productName |
|
Scheduled |
スケジュールされたアラート ルール テンプレートを表します。 |
|
system |
リソースの作成と最後の変更に関連するメタデータ。 |
|
Template |
アラート ルール テンプレートの状態。 |
|
Trigger |
アラート ルールをトリガーするしきい値に対する操作。 |
AlertDetailsOverride
アラートの静的な詳細を動的にオーバーライドする方法の設定
| 名前 | 型 | 説明 |
|---|---|---|
| alertDescriptionFormat |
string |
アラートの説明をオーバーライドするための列名を含む形式 |
| alertDisplayNameFormat |
string |
アラート名をオーバーライドするための列名を含む形式 |
| alertDynamicProperties |
オーバーライドする追加の動的プロパティの一覧 |
|
| alertSeverityColumnName |
string |
アラートの重大度を取得する列名 |
| alertTacticsColumnName |
string |
アラートの戦術を取得する列名 |
AlertProperty
V3 アラート プロパティ
| 名前 | 型 | 説明 |
|---|---|---|
| AlertLink |
string |
アラートのリンク |
| ConfidenceLevel |
string |
信頼度レベル プロパティ |
| ConfidenceScore |
string |
信頼度スコア |
| ExtendedLinks |
string |
アラートへの拡張リンク |
| ProductComponentName |
string |
製品コンポーネント名アラート プロパティ |
| ProductName |
string |
製品名アラート プロパティ |
| ProviderName |
string |
プロバイダー名アラート プロパティ |
| RemediationSteps |
string |
修復手順アラート プロパティ |
| Techniques |
string |
手法アラート プロパティ |
AlertPropertyMapping
オーバーライドする 1 つのアラート プロパティ マッピング
| 名前 | 型 | 説明 |
|---|---|---|
| alertProperty |
V3 アラート プロパティ |
|
| value |
string |
このプロパティをオーバーライドするために使用する列名 |
AlertRuleTemplateDataSource
アラート ルール テンプレートのデータ ソース
| 名前 | 型 | 説明 |
|---|---|---|
| connectorId |
string |
次のデータ型を提供するコネクタ ID |
| dataTypes |
string[] |
アラート ルール テンプレートで使用されるデータ型 |
AlertRuleTemplatesList
すべてのアラート ルール テンプレートを一覧表示します。
| 名前 | 型 | 説明 |
|---|---|---|
| nextLink |
string |
アラート ルール テンプレートの次のセットをフェッチする URL。 |
| value | AlertRuleTemplate[]: |
アラート ルール テンプレートの配列。 |
AlertSeverity
このアラート ルールによって作成されたアラートの重大度。
| 名前 | 型 | 説明 |
|---|---|---|
| High |
string |
重要度レベル |
| Informational |
string |
情報の重大度 |
| Low |
string |
重大度: 低 |
| Medium |
string |
重要度レベル |
AttackTactic
このアラート ルールによって作成されたアラートの重大度。
| 名前 | 型 | 説明 |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
エラー応答の構造。
| 名前 | 型 | 説明 |
|---|---|---|
| error |
エラー データ |
CloudErrorBody
エラーの詳細。
| 名前 | 型 | 説明 |
|---|---|---|
| code |
string |
エラーの識別子。 コードは不変であり、プログラムによって使用されることを意図しています。 |
| message |
string |
ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。 |
createdByType
リソースを作成した ID の種類。
| 名前 | 型 | 説明 |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityMapping
アラート ルールの単一エンティティ マッピング
| 名前 | 型 | 説明 |
|---|---|---|
| entityType |
マップされたエンティティの V3 型 |
|
| fieldMappings |
指定されたエンティティ マッピングのフィールド マッピングの配列 |
EntityMappingType
マップされたエンティティの V3 型
| 名前 | 型 | 説明 |
|---|---|---|
| Account |
string |
ユーザー アカウント エンティティの種類 |
| AzureResource |
string |
Azure リソース エンティティの種類 |
| CloudApplication |
string |
クラウド アプリ エンティティの種類 |
| DNS |
string |
DNS エンティティの種類 |
| File |
string |
システム ファイル エンティティの種類 |
| FileHash |
string |
ファイル ハッシュ エンティティの種類 |
| Host |
string |
ホスト エンティティの種類 |
| IP |
string |
IP アドレス エンティティの種類 |
| MailCluster |
string |
メール クラスター エンティティの種類 |
| MailMessage |
string |
メール メッセージ エンティティの種類 |
| Mailbox |
string |
メールボックス エンティティの種類 |
| Malware |
string |
マルウェア エンティティの種類 |
| Process |
string |
プロセス エンティティの種類 |
| RegistryKey |
string |
レジストリ キー エンティティの種類 |
| RegistryValue |
string |
レジストリ値エンティティ型 |
| SecurityGroup |
string |
セキュリティ グループ エンティティの種類 |
| SubmissionMail |
string |
送信メール エンティティの種類 |
| URL |
string |
URL エンティティの種類 |
EventGroupingAggregationKind
イベント グループの集計の種類
| 名前 | 型 | 説明 |
|---|---|---|
| AlertPerResult |
string |
|
| SingleAlert |
string |
EventGroupingSettings
イベント グループ化設定プロパティ バッグ。
| 名前 | 型 | 説明 |
|---|---|---|
| aggregationKind |
イベント グループの集計の種類 |
FieldMapping
マップされたエンティティの 1 つのフィールド マッピング
| 名前 | 型 | 説明 |
|---|---|---|
| columnName |
string |
識別子にマップされる列名 |
| identifier |
string |
エンティティの V3 識別子 |
FusionAlertRuleTemplate
Fusion アラート ルール テンプレートを表します。
| 名前 | 型 | 説明 |
|---|---|---|
| id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Fusion |
アラート ルールの種類 |
| name |
string |
リソースの名前 |
| properties.alertRulesCreatedByTemplateCount |
integer |
このテンプレートによって作成されたアラート ルールの数 |
| properties.createdDateUTC |
string |
このアラート ルール テンプレートが追加された時刻。 |
| properties.description |
string |
アラート ルール テンプレートの説明。 |
| properties.displayName |
string |
アラート ルール テンプレートの表示名。 |
| properties.lastUpdatedDateUTC |
string |
このアラート ルール テンプレートが最後に更新された時刻。 |
| properties.requiredDataConnectors |
このテンプレートに必要なデータ コネクタ |
|
| properties.severity |
このアラート ルールによって作成されたアラートの重大度。 |
|
| properties.status |
アラート ルール テンプレートの状態。 |
|
| properties.tactics |
アラート ルール テンプレートの戦術 |
|
| properties.techniques |
string[] |
アラート ルール テンプレートの手法 |
| systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
| type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityIncidentCreationAlertRuleTemplate
MicrosoftSecurityIncidentCreation ルール テンプレートを表します。
| 名前 | 型 | 説明 |
|---|---|---|
| id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Microsoft |
アラート ルールの種類 |
| name |
string |
リソースの名前 |
| properties.alertRulesCreatedByTemplateCount |
integer |
このテンプレートによって作成されたアラート ルールの数 |
| properties.createdDateUTC |
string |
このアラート ルール テンプレートが追加された時刻。 |
| properties.description |
string |
アラート ルール テンプレートの説明。 |
| properties.displayName |
string |
アラート ルール テンプレートの表示名。 |
| properties.displayNamesExcludeFilter |
string[] |
ケースが生成されないアラートの displayNames |
| properties.displayNamesFilter |
string[] |
ケースが生成されるアラートの displayNames |
| properties.lastUpdatedDateUTC |
string |
このアラート ルール テンプレートが最後に更新された時刻。 |
| properties.productFilter |
ケースが生成されるアラートの productName |
|
| properties.requiredDataConnectors |
このテンプレートに必要なデータ コネクタ |
|
| properties.severitiesFilter |
ケースが生成されるアラートの重大度 |
|
| properties.status |
アラート ルール テンプレートの状態。 |
|
| systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
| type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
ケースが生成されるアラートの productName
| 名前 | 型 | 説明 |
|---|---|---|
| Azure Active Directory Identity Protection |
string |
|
| Azure Advanced Threat Protection |
string |
|
| Azure Security Center |
string |
|
| Azure Security Center for IoT |
string |
|
| Microsoft Cloud App Security |
string |
ScheduledAlertRuleTemplate
スケジュールされたアラート ルール テンプレートを表します。
| 名前 | 型 | 説明 |
|---|---|---|
| id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Scheduled |
アラート ルールの種類 |
| name |
string |
リソースの名前 |
| properties.alertDetailsOverride |
アラートの詳細が設定をオーバーライドする |
|
| properties.alertRulesCreatedByTemplateCount |
integer |
このテンプレートによって作成されたアラート ルールの数 |
| properties.createdDateUTC |
string |
このアラート ルール テンプレートが追加された時刻。 |
| properties.customDetails |
object |
アラートにアタッチする列の文字列キーと値のペアのディクショナリ |
| properties.description |
string |
アラート ルール テンプレートの説明。 |
| properties.displayName |
string |
アラート ルール テンプレートの表示名。 |
| properties.entityMappings |
アラート ルールのエンティティ マッピングの配列 |
|
| properties.eventGroupingSettings |
イベントグループ化の設定。 |
|
| properties.lastUpdatedDateUTC |
string |
このアラート ルール テンプレートが最後に更新された時刻。 |
| properties.query |
string |
このルールのアラートを作成するクエリ。 |
| properties.queryFrequency |
string |
このアラート ルールを実行する頻度 (ISO 8601 期間形式)。 |
| properties.queryPeriod |
string |
このアラート ルールが検索する期間 (ISO 8601 期間形式)。 |
| properties.requiredDataConnectors |
このテンプレートに必要なデータ コネクタ |
|
| properties.severity |
このアラート ルールによって作成されたアラートの重大度。 |
|
| properties.status |
アラート ルール テンプレートの状態。 |
|
| properties.tactics |
アラート ルール テンプレートの戦術 |
|
| properties.techniques |
string[] |
アラート ルール テンプレートの手法 |
| properties.triggerOperator |
アラート ルールをトリガーするしきい値に対する操作。 |
|
| properties.triggerThreshold |
integer |
しきい値によって、このアラート ルールがトリガーされます。 |
| properties.version |
string |
このテンプレートのバージョン - a.b.c <>形式で、すべて数値です。 たとえば <、1.0.2> です。 |
| systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
| type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
systemData
リソースの作成と最後の変更に関連するメタデータ。
| 名前 | 型 | 説明 |
|---|---|---|
| createdAt |
string |
リソース作成のタイムスタンプ (UTC)。 |
| createdBy |
string |
リソースを作成した ID。 |
| createdByType |
リソースを作成した ID の種類。 |
|
| lastModifiedAt |
string |
リソースの最終変更のタイムスタンプ (UTC) |
| lastModifiedBy |
string |
リソースを最後に変更した ID。 |
| lastModifiedByType |
リソースを最後に変更した ID の種類。 |
TemplateStatus
アラート ルール テンプレートの状態。
| 名前 | 型 | 説明 |
|---|---|---|
| Available |
string |
アラート ルール テンプレートを使用できます。 |
| Installed |
string |
アラート ルール テンプレートがインストールされています。 そして、一度より多くを使用することはできません |
| NotAvailable |
string |
アラート ルール テンプレートは使用できません |
TriggerOperator
アラート ルールをトリガーするしきい値に対する操作。
| 名前 | 型 | 説明 |
|---|---|---|
| Equal |
string |
|
| GreaterThan |
string |
|
| LessThan |
string |
|
| NotEqual |
string |