Alert Rules - List
모든 경고 규칙을 가져옵니다.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01
URI 매개 변수
Name | In(다음 안에) | 필수 | 형식 | Description |
---|---|---|---|---|
resource
|
path | True |
string |
리소스 그룹의 이름. 이름은 대소문자를 구분하지 않습니다. |
subscription
|
path | True |
string |
대상 구독의 ID입니다. |
workspace
|
path | True |
string |
작업 영역의 이름 regex 패턴: |
api-version
|
query | True |
string |
이 작업에 사용할 API 버전입니다. |
응답
Name | 형식 | Description |
---|---|---|
200 OK |
확인, 작업이 성공적으로 완료됨 |
|
Other Status Codes |
작업이 실패한 이유를 설명하는 오류 응답입니다. |
보안
azure_auth
Azure Active Directory OAuth2 Flow
형식:
oauth2
Flow:
implicit
권한 부여 URL:
https://login.microsoftonline.com/common/oauth2/authorize
범위
Name | Description |
---|---|
user_impersonation | 사용자 계정 가장 |
예제
Get all alert rules.
샘플 요청
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01
샘플 응답
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"alertRuleTemplateName": null,
"displayName": "My scheduled rule",
"description": "An example for a scheduled rule",
"severity": "High",
"enabled": true,
"tactics": [
"Persistence",
"LateralMovement"
],
"query": "Heartbeat",
"queryFrequency": "PT1H",
"queryPeriod": "P2DT1H30M",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT1H",
"suppressionEnabled": false,
"lastModifiedUtc": "2021-03-01T13:17:30Z",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"customDetails": {
"OperatingSystemName": "OSName",
"OperatingSystemType": "OSType"
},
"entityMappings": [
{
"entityType": "Host",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "Computer"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "ComputerIP"
}
]
}
],
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert from {{Computer}}",
"alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"incidentConfiguration": {
"createIncident": true,
"groupingConfiguration": {
"enabled": true,
"reopenClosedIncident": false,
"lookbackDuration": "PT5H",
"matchingMethod": "Selected",
"groupByEntities": [
"Host"
],
"groupByAlertDetails": [
"DisplayName"
],
"groupByCustomDetails": [
"OperatingSystemType",
"OperatingSystemName"
]
}
}
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
"name": "microsoftSecurityIncidentCreationRuleExample",
"etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "testing displayname",
"enabled": true,
"description": null,
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
"name": "myFirstFusionRule",
"etag": "\"25005c11-0000-0d00-0000-5d6cc0e20000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
"alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"severity": "High",
"enabled": false,
"lastModifiedUtc": "2019-09-02T07:12:34.9065092Z"
}
}
]
}
정의
Name | Description |
---|---|
Alert |
그룹화할 경고 세부 정보 목록(일치메토드를 선택한 경우) |
Alert |
경고 정적 세부 정보를 동적으로 재정의하는 방법에 대한 설정 |
Alert |
V3 경고 속성 |
Alert |
재정의할 단일 경고 속성 매핑 |
Alert |
모든 경고 규칙을 나열합니다. |
Alert |
이 경고 규칙에서 만든 경고의 심각도입니다. |
Attack |
이 경고 규칙에서 만든 경고의 심각도입니다. |
Cloud |
오류 응답 구조. |
Cloud |
오류 세부 정보입니다. |
created |
리소스를 만든 ID의 형식입니다. |
Entity |
경고 규칙에 대한 단일 엔터티 매핑 |
Entity |
매핑된 엔터티의 V3 형식 |
Event |
이벤트 그룹화 집계 종류 |
Event |
이벤트 그룹화 설정 속성 모음. |
Field |
매핑된 엔터티의 단일 필드 매핑 |
Fusion |
Fusion 경고 규칙을 나타냅니다. |
Grouping |
구성 속성 모음을 그룹화합니다. |
Incident |
인시던트 구성 속성 모음. |
Matching |
그룹화 일치 메서드. 메서드가 groupByEntities, groupByAlertDetails 중 하나 이상인 경우 groupByCustomDetails를 제공해야 하며 비어 있지 않아야 합니다. |
Microsoft |
MicrosoftSecurityIncidentCreation 규칙을 나타냅니다. |
Microsoft |
사례가 생성될 경고의 productName |
Scheduled |
예약된 경고 규칙을 나타냅니다. |
system |
리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다. |
Trigger |
경고 규칙을 트리거하는 임계값에 대한 작업입니다. |
AlertDetail
그룹화할 경고 세부 정보 목록(일치메토드를 선택한 경우)
Name | 형식 | Description |
---|---|---|
DisplayName |
string |
경고 표시 이름 |
Severity |
string |
경고 심각도 |
AlertDetailsOverride
경고 정적 세부 정보를 동적으로 재정의하는 방법에 대한 설정
Name | 형식 | Description |
---|---|---|
alertDescriptionFormat |
string |
경고 설명을 재정의하기 위해 열 이름을 포함하는 형식 |
alertDisplayNameFormat |
string |
경고 이름을 재정의할 열 이름이 포함된 형식 |
alertDynamicProperties |
재정의할 추가 동적 속성 목록 |
|
alertSeverityColumnName |
string |
경고 심각도를 취할 열 이름 |
alertTacticsColumnName |
string |
경고 전술을 취할 열 이름 |
AlertProperty
V3 경고 속성
Name | 형식 | Description |
---|---|---|
AlertLink |
string |
경고 링크 |
ConfidenceLevel |
string |
신뢰도 수준 속성 |
ConfidenceScore |
string |
신뢰도 점수 |
ExtendedLinks |
string |
경고에 대한 확장 링크 |
ProductComponentName |
string |
제품 구성 요소 이름 경고 속성 |
ProductName |
string |
제품 이름 경고 속성 |
ProviderName |
string |
공급자 이름 경고 속성 |
RemediationSteps |
string |
수정 단계 경고 속성 |
Techniques |
string |
기술 경고 속성 |
AlertPropertyMapping
재정의할 단일 경고 속성 매핑
Name | 형식 | Description |
---|---|---|
alertProperty |
V3 경고 속성 |
|
value |
string |
이 속성을 재정의하는 데 사용할 열 이름 |
AlertRulesList
모든 경고 규칙을 나열합니다.
Name | 형식 | Description |
---|---|---|
nextLink |
string |
다음 경고 규칙 집합을 가져오는 URL입니다. |
value | AlertRule[]: |
경고 규칙의 배열입니다. |
AlertSeverity
이 경고 규칙에서 만든 경고의 심각도입니다.
Name | 형식 | Description |
---|---|---|
High |
string |
높은 심각도 |
Informational |
string |
정보 심각도 |
Low |
string |
낮은 심각도 |
Medium |
string |
중간 심각도 |
AttackTactic
이 경고 규칙에서 만든 경고의 심각도입니다.
Name | 형식 | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
오류 응답 구조.
Name | 형식 | Description |
---|---|---|
error |
오류 데이터 |
CloudErrorBody
오류 세부 정보입니다.
Name | 형식 | Description |
---|---|---|
code |
string |
오류의 식별자입니다. 코드는 고정이며 프로그래밍 방식으로 사용하기 위한 것입니다. |
message |
string |
사용자 인터페이스에 표시하기에 적합한 오류를 설명하는 메시지입니다. |
createdByType
리소스를 만든 ID의 형식입니다.
Name | 형식 | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
경고 규칙에 대한 단일 엔터티 매핑
Name | 형식 | Description |
---|---|---|
entityType |
매핑된 엔터티의 V3 형식 |
|
fieldMappings |
지정된 엔터티 매핑에 대한 필드 매핑 배열 |
EntityMappingType
매핑된 엔터티의 V3 형식
Name | 형식 | Description |
---|---|---|
Account |
string |
사용자 계정 엔터티 유형 |
AzureResource |
string |
Azure 리소스 엔터티 유형 |
CloudApplication |
string |
클라우드 앱 엔터티 유형 |
DNS |
string |
DNS 엔터티 형식 |
File |
string |
시스템 파일 엔터티 형식 |
FileHash |
string |
파일 해시 엔터티 형식 |
Host |
string |
호스트 엔터티 형식 |
IP |
string |
IP 주소 엔터티 형식 |
MailCluster |
string |
메일 클러스터 엔터티 유형 |
MailMessage |
string |
메일 메시지 엔터티 유형 |
Mailbox |
string |
사서함 엔터티 유형 |
Malware |
string |
맬웨어 엔터티 형식 |
Process |
string |
프로세스 엔터티 형식 |
RegistryKey |
string |
레지스트리 키 엔터티 형식 |
RegistryValue |
string |
레지스트리 값 엔터티 형식 |
SecurityGroup |
string |
보안 그룹 엔터티 형식 |
SubmissionMail |
string |
제출 메일 엔터티 유형 |
URL |
string |
URL 엔터티 형식 |
EventGroupingAggregationKind
이벤트 그룹화 집계 종류
Name | 형식 | Description |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
이벤트 그룹화 설정 속성 모음.
Name | 형식 | Description |
---|---|---|
aggregationKind |
이벤트 그룹화 집계 종류 |
FieldMapping
매핑된 엔터티의 단일 필드 매핑
Name | 형식 | Description |
---|---|---|
columnName |
string |
식별자에 매핑할 열 이름 |
identifier |
string |
엔터티의 V3 식별자 |
FusionAlertRule
Fusion 경고 규칙을 나타냅니다.
Name | 형식 | Description |
---|---|---|
etag |
string |
Azure 리소스의 Etag |
id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
경고 규칙 종류 |
name |
string |
리소스의 이름입니다. |
properties.alertRuleTemplateName |
string |
이 규칙을 만드는 데 사용되는 경고 규칙 템플릿의 이름입니다. |
properties.description |
string |
경고 규칙에 대한 설명입니다. |
properties.displayName |
string |
이 경고 규칙에서 만든 경고의 표시 이름입니다. |
properties.enabled |
boolean |
이 경고 규칙의 사용 여부를 결정합니다. |
properties.lastModifiedUtc |
string |
이 경고가 마지막으로 수정된 시간입니다. |
properties.severity |
이 경고 규칙에서 만든 경고의 심각도입니다. |
|
properties.tactics |
경고 규칙의 전술 |
|
properties.techniques |
string[] |
경고 규칙의 기술 |
systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
GroupingConfiguration
구성 속성 모음을 그룹화합니다.
Name | 형식 | Description |
---|---|---|
enabled |
boolean |
그룹화 사용 |
groupByAlertDetails |
그룹화할 경고 세부 정보 목록(일치메토드를 선택한 경우) |
|
groupByCustomDetails |
string[] |
그룹화할 사용자 지정 세부 정보 키 목록입니다(일치하는 경우Method가 선택됨). 현재 경고 규칙에 정의된 키만 사용할 수 있습니다. |
groupByEntities |
그룹화할 엔터티 형식 목록입니다(matchingMethod가 선택됨인 경우). 현재 경고 규칙에 정의된 엔터티만 사용할 수 있습니다. |
|
lookbackDuration |
string |
조회 기간 내에 생성된 경고로 그룹 제한(ISO 8601 기간 형식) |
matchingMethod |
그룹화 일치 메서드. 메서드가 groupByEntities, groupByAlertDetails 중 하나 이상인 경우 groupByCustomDetails를 제공해야 하며 비어 있지 않아야 합니다. |
|
reopenClosedIncident |
boolean |
닫힌 일치 인시던트 다시 열기 |
IncidentConfiguration
인시던트 구성 속성 모음.
Name | 형식 | Description |
---|---|---|
createIncident |
boolean |
이 분석 규칙에 의해 트리거되는 경고에서 인시던트 만들기 |
groupingConfiguration |
이 분석 규칙에 의해 트리거되는 경고가 인시던트로 그룹화되는 방법 설정 |
MatchingMethod
그룹화 일치 메서드. 메서드가 groupByEntities, groupByAlertDetails 중 하나 이상인 경우 groupByCustomDetails를 제공해야 하며 비어 있지 않아야 합니다.
Name | 형식 | Description |
---|---|---|
AllEntities |
string |
모든 엔터티가 일치하는 경우 경고를 단일 인시던트로 그룹화 |
AnyAlert |
string |
이 규칙에 의해 트리거된 모든 경고를 단일 인시던트로 그룹화 |
Selected |
string |
선택한 엔터티, 사용자 지정 세부 정보 및 경고 세부 정보가 일치하는 경우 경고를 단일 인시던트로 그룹화 |
MicrosoftSecurityIncidentCreationAlertRule
MicrosoftSecurityIncidentCreation 규칙을 나타냅니다.
Name | 형식 | Description |
---|---|---|
etag |
string |
Azure 리소스의 Etag |
id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
경고 규칙 종류 |
name |
string |
리소스의 이름입니다. |
properties.alertRuleTemplateName |
string |
이 규칙을 만드는 데 사용되는 경고 규칙 템플릿의 이름입니다. |
properties.description |
string |
경고 규칙에 대한 설명입니다. |
properties.displayName |
string |
이 경고 규칙에서 만든 경고의 표시 이름입니다. |
properties.displayNamesExcludeFilter |
string[] |
사례가 생성되지 않는 경고의 displayNames |
properties.displayNamesFilter |
string[] |
사례가 생성될 경고의 displayNames |
properties.enabled |
boolean |
이 경고 규칙의 사용 여부를 결정합니다. |
properties.lastModifiedUtc |
string |
이 경고가 마지막으로 수정된 시간입니다. |
properties.productFilter |
사례가 생성될 경고의 productName |
|
properties.severitiesFilter |
사례가 생성되는 경고의 심각도 |
|
systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
사례가 생성될 경고의 productName
Name | 형식 | Description |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRule
예약된 경고 규칙을 나타냅니다.
Name | 형식 | Description |
---|---|---|
etag |
string |
Azure 리소스의 Etag |
id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
경고 규칙 종류 |
name |
string |
리소스의 이름입니다. |
properties.alertDetailsOverride |
경고 세부 정보 재정의 설정 |
|
properties.alertRuleTemplateName |
string |
이 규칙을 만드는 데 사용되는 경고 규칙 템플릿의 이름입니다. |
properties.customDetails |
object |
경고에 연결할 열의 문자열 키-값 쌍 사전 |
properties.description |
string |
경고 규칙에 대한 설명입니다. |
properties.displayName |
string |
이 경고 규칙에서 만든 경고의 표시 이름입니다. |
properties.enabled |
boolean |
이 경고 규칙의 사용 여부를 결정합니다. |
properties.entityMappings |
경고 규칙의 엔터티 매핑 배열 |
|
properties.eventGroupingSettings |
이벤트 그룹화 설정입니다. |
|
properties.incidentConfiguration |
이 분석 규칙에 의해 트리거된 경고에서 생성된 인시던트 설정 |
|
properties.lastModifiedUtc |
string |
이 경고 규칙이 마지막으로 수정된 시간입니다. |
properties.query |
string |
이 규칙에 대한 경고를 만드는 쿼리입니다. |
properties.queryFrequency |
string |
이 경고 규칙을 실행할 빈도(ISO 8601 기간 형식)입니다. |
properties.queryPeriod |
string |
이 경고 규칙이 보는 기간(ISO 8601 기간 형식)입니다. |
properties.severity |
이 경고 규칙에서 만든 경고의 심각도입니다. |
|
properties.suppressionDuration |
string |
이 경고 규칙이 마지막으로 트리거된 이후 대기할 표시 안 함(ISO 8601 기간 형식)입니다. |
properties.suppressionEnabled |
boolean |
이 경고 규칙에 대한 표시 안 함을 사용할지 아니면 사용하지 않도록 설정할지 여부를 결정합니다. |
properties.tactics |
경고 규칙의 전술 |
|
properties.techniques |
string[] |
경고 규칙의 기술 |
properties.templateVersion |
string |
이 규칙을 만드는 데 사용되는 경고 규칙 템플릿의 버전입니다. a.b.c> 형식<으로, 모두 숫자입니다(예: 0 <1.0.2).> |
properties.triggerOperator |
경고 규칙을 트리거하는 임계값에 대한 작업입니다. |
|
properties.triggerThreshold |
integer |
임계값은 이 경고 규칙을 트리거합니다. |
systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
systemData
리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다.
Name | 형식 | Description |
---|---|---|
createdAt |
string |
UTC(리소스 만들기)의 타임스탬프입니다. |
createdBy |
string |
리소스를 만든 ID입니다. |
createdByType |
리소스를 만든 ID 유형입니다. |
|
lastModifiedAt |
string |
리소스 마지막 수정의 타임스탬프(UTC) |
lastModifiedBy |
string |
리소스를 마지막으로 수정한 ID입니다. |
lastModifiedByType |
리소스를 마지막으로 수정한 ID 유형입니다. |
TriggerOperator
경고 규칙을 트리거하는 임계값에 대한 작업입니다.
Name | 형식 | Description |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |