Alert Rules - List

서비스:

Sentinel

API 버전:

2024-03-01

모든 경고 규칙을 가져옵니다.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01

URI 매개 변수

Name	In(다음 안에)	필수	형식	Description
resourceGroupName	path	True	string	리소스 그룹의 이름. 이름은 대소문자를 구분하지 않습니다.
subscriptionId	path	True	string	대상 구독의 ID입니다.
workspaceName	path	True	string	작업 영역의 이름 regex 패턴: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version	query	True	string	이 작업에 사용할 API 버전입니다.

응답

Name	형식	Description
200 OK	AlertRulesList	확인, 작업이 성공적으로 완료됨
Other Status Codes	CloudError	작업이 실패한 이유를 설명하는 오류 응답입니다.

보안

azure_auth

Azure Active Directory OAuth2 Flow

형식: oauth2
Flow: implicit
권한 부여 URL: https://login.microsoftonline.com/common/oauth2/authorize

범위

Name	Description
user_impersonation	사용자 계정 가장

예제

Get all alert rules.

샘플 요청

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01

샘플 응답

상태 코드:

200

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Scheduled",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "alertRuleTemplateName": null,
        "displayName": "My scheduled rule",
        "description": "An example for a scheduled rule",
        "severity": "High",
        "enabled": true,
        "tactics": [
          "Persistence",
          "LateralMovement"
        ],
        "query": "Heartbeat",
        "queryFrequency": "PT1H",
        "queryPeriod": "P2DT1H30M",
        "triggerOperator": "GreaterThan",
        "triggerThreshold": 0,
        "suppressionDuration": "PT1H",
        "suppressionEnabled": false,
        "lastModifiedUtc": "2021-03-01T13:17:30Z",
        "eventGroupingSettings": {
          "aggregationKind": "AlertPerResult"
        },
        "customDetails": {
          "OperatingSystemName": "OSName",
          "OperatingSystemType": "OSType"
        },
        "entityMappings": [
          {
            "entityType": "Host",
            "fieldMappings": [
              {
                "identifier": "FullName",
                "columnName": "Computer"
              }
            ]
          },
          {
            "entityType": "IP",
            "fieldMappings": [
              {
                "identifier": "Address",
                "columnName": "ComputerIP"
              }
            ]
          }
        ],
        "alertDetailsOverride": {
          "alertDisplayNameFormat": "Alert from {{Computer}}",
          "alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
          "alertTacticsColumnName": null,
          "alertSeverityColumnName": null
        },
        "incidentConfiguration": {
          "createIncident": true,
          "groupingConfiguration": {
            "enabled": true,
            "reopenClosedIncident": false,
            "lookbackDuration": "PT5H",
            "matchingMethod": "Selected",
            "groupByEntities": [
              "Host"
            ],
            "groupByAlertDetails": [
              "DisplayName"
            ],
            "groupByCustomDetails": [
              "OperatingSystemType",
              "OperatingSystemName"
            ]
          }
        }
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
      "name": "microsoftSecurityIncidentCreationRuleExample",
      "etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "MicrosoftSecurityIncidentCreation",
      "properties": {
        "productFilter": "Microsoft Cloud App Security",
        "severitiesFilter": null,
        "displayNamesFilter": null,
        "displayName": "testing displayname",
        "enabled": true,
        "description": null,
        "alertRuleTemplateName": null,
        "lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
      "name": "myFirstFusionRule",
      "etag": "\"25005c11-0000-0d00-0000-5d6cc0e20000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Fusion",
      "properties": {
        "displayName": "Advanced Multi-Stage Attack Detection",
        "description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
        "alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
        "tactics": [
          "Persistence",
          "LateralMovement",
          "Exfiltration",
          "CommandAndControl"
        ],
        "severity": "High",
        "enabled": false,
        "lastModifiedUtc": "2019-09-02T07:12:34.9065092Z"
      }
    }
  ]
}

정의

Name	Description
AlertDetail	그룹화할 경고 세부 정보 목록(일치메토드를 선택한 경우)
AlertDetailsOverride	경고 정적 세부 정보를 동적으로 재정의하는 방법에 대한 설정
AlertProperty	V3 경고 속성
AlertPropertyMapping	재정의할 단일 경고 속성 매핑
AlertRulesList	모든 경고 규칙을 나열합니다.
AlertSeverity	이 경고 규칙에서 만든 경고의 심각도입니다.
AttackTactic	이 경고 규칙에서 만든 경고의 심각도입니다.
CloudError	오류 응답 구조.
CloudErrorBody	오류 세부 정보입니다.
createdByType	리소스를 만든 ID의 형식입니다.
EntityMapping	경고 규칙에 대한 단일 엔터티 매핑
EntityMappingType	매핑된 엔터티의 V3 형식
EventGroupingAggregationKind	이벤트 그룹화 집계 종류
EventGroupingSettings	이벤트 그룹화 설정 속성 모음.
FieldMapping	매핑된 엔터티의 단일 필드 매핑
FusionAlertRule	Fusion 경고 규칙을 나타냅니다.
GroupingConfiguration	구성 속성 모음을 그룹화합니다.
IncidentConfiguration	인시던트 구성 속성 모음.
MatchingMethod	그룹화 일치 메서드. 메서드가 groupByEntities, groupByAlertDetails 중 하나 이상인 경우 groupByCustomDetails를 제공해야 하며 비어 있지 않아야 합니다.
MicrosoftSecurityIncidentCreationAlertRule	MicrosoftSecurityIncidentCreation 규칙을 나타냅니다.
MicrosoftSecurityProductName	사례가 생성될 경고의 productName
ScheduledAlertRule	예약된 경고 규칙을 나타냅니다.
systemData	리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다.
TriggerOperator	경고 규칙을 트리거하는 임계값에 대한 작업입니다.

AlertDetail

그룹화할 경고 세부 정보 목록(일치메토드를 선택한 경우)

Name	형식	Description
DisplayName	string	경고 표시 이름
Severity	string	경고 심각도

AlertDetailsOverride

경고 정적 세부 정보를 동적으로 재정의하는 방법에 대한 설정

Name	형식	Description
alertDescriptionFormat	string	경고 설명을 재정의하기 위해 열 이름을 포함하는 형식
alertDisplayNameFormat	string	경고 이름을 재정의할 열 이름이 포함된 형식
alertDynamicProperties	AlertPropertyMapping[]	재정의할 추가 동적 속성 목록
alertSeverityColumnName	string	경고 심각도를 취할 열 이름
alertTacticsColumnName	string	경고 전술을 취할 열 이름

AlertProperty

V3 경고 속성

Name	형식	Description
AlertLink	string	경고 링크
ConfidenceLevel	string	신뢰도 수준 속성
ConfidenceScore	string	신뢰도 점수
ExtendedLinks	string	경고에 대한 확장 링크
ProductComponentName	string	제품 구성 요소 이름 경고 속성
ProductName	string	제품 이름 경고 속성
ProviderName	string	공급자 이름 경고 속성
RemediationSteps	string	수정 단계 경고 속성
Techniques	string	기술 경고 속성

AlertPropertyMapping

재정의할 단일 경고 속성 매핑

Name	형식	Description
alertProperty	AlertProperty	V3 경고 속성
value	string	이 속성을 재정의하는 데 사용할 열 이름

AlertRulesList

모든 경고 규칙을 나열합니다.

Name	형식	Description
nextLink	string	다음 경고 규칙 집합을 가져오는 URL입니다.
value	AlertRule[]: FusionAlertRule[] MicrosoftSecurityIncidentCreationAlertRule[] ScheduledAlertRule[]	경고 규칙의 배열입니다.

AlertSeverity

이 경고 규칙에서 만든 경고의 심각도입니다.

Name	형식	Description
High	string	높은 심각도
Informational	string	정보 심각도
Low	string	낮은 심각도
Medium	string	중간 심각도

AttackTactic

이 경고 규칙에서 만든 경고의 심각도입니다.

Name	형식	Description
Collection	string
CommandAndControl	string
CredentialAccess	string
DefenseEvasion	string
Discovery	string
Execution	string
Exfiltration	string
Impact	string
ImpairProcessControl	string
InhibitResponseFunction	string
InitialAccess	string
LateralMovement	string
Persistence	string
PreAttack	string
PrivilegeEscalation	string
Reconnaissance	string
ResourceDevelopment	string

CloudError

오류 응답 구조.

Name	형식	Description
error	CloudErrorBody	오류 데이터

CloudErrorBody

오류 세부 정보입니다.

Name	형식	Description
code	string	오류의 식별자입니다. 코드는 고정이며 프로그래밍 방식으로 사용하기 위한 것입니다.
message	string	사용자 인터페이스에 표시하기에 적합한 오류를 설명하는 메시지입니다.

createdByType

리소스를 만든 ID의 형식입니다.

Name	형식	Description
Application	string
Key	string
ManagedIdentity	string
User	string

EntityMapping

경고 규칙에 대한 단일 엔터티 매핑

Name	형식	Description
entityType	EntityMappingType	매핑된 엔터티의 V3 형식
fieldMappings	FieldMapping[]	지정된 엔터티 매핑에 대한 필드 매핑 배열

EntityMappingType

매핑된 엔터티의 V3 형식

Name	형식	Description
Account	string	사용자 계정 엔터티 유형
AzureResource	string	Azure 리소스 엔터티 유형
CloudApplication	string	클라우드 앱 엔터티 유형
DNS	string	DNS 엔터티 형식
File	string	시스템 파일 엔터티 형식
FileHash	string	파일 해시 엔터티 형식
Host	string	호스트 엔터티 형식
IP	string	IP 주소 엔터티 형식
MailCluster	string	메일 클러스터 엔터티 유형
MailMessage	string	메일 메시지 엔터티 유형
Mailbox	string	사서함 엔터티 유형
Malware	string	맬웨어 엔터티 형식
Process	string	프로세스 엔터티 형식
RegistryKey	string	레지스트리 키 엔터티 형식
RegistryValue	string	레지스트리 값 엔터티 형식
SecurityGroup	string	보안 그룹 엔터티 형식
SubmissionMail	string	제출 메일 엔터티 유형
URL	string	URL 엔터티 형식

EventGroupingAggregationKind

이벤트 그룹화 집계 종류

Name	형식	Description
AlertPerResult	string
SingleAlert	string

EventGroupingSettings

이벤트 그룹화 설정 속성 모음.

Name	형식	Description
aggregationKind	EventGroupingAggregationKind	이벤트 그룹화 집계 종류

FieldMapping

매핑된 엔터티의 단일 필드 매핑

Name	형식	Description
columnName	string	식별자에 매핑할 열 이름
identifier	string	엔터티의 V3 식별자

FusionAlertRule

Fusion 경고 규칙을 나타냅니다.

Name	형식	Description
etag	string	Azure 리소스의 Etag
id	string	리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: Fusion	경고 규칙 종류
name	string	리소스의 이름입니다.
properties.alertRuleTemplateName	string	이 규칙을 만드는 데 사용되는 경고 규칙 템플릿의 이름입니다.
properties.description	string	경고 규칙에 대한 설명입니다.
properties.displayName	string	이 경고 규칙에서 만든 경고의 표시 이름입니다.
properties.enabled	boolean	이 경고 규칙의 사용 여부를 결정합니다.
properties.lastModifiedUtc	string	이 경고가 마지막으로 수정된 시간입니다.
properties.severity	AlertSeverity	이 경고 규칙에서 만든 경고의 심각도입니다.
properties.tactics	AttackTactic[]	경고 규칙의 전술
properties.techniques	string[]	경고 규칙의 기술
systemData	systemData	createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다.
type	string	리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts"

GroupingConfiguration

구성 속성 모음을 그룹화합니다.

Name	형식	Description
enabled	boolean	그룹화 사용
groupByAlertDetails	AlertDetail[]	그룹화할 경고 세부 정보 목록(일치메토드를 선택한 경우)
groupByCustomDetails	string[]	그룹화할 사용자 지정 세부 정보 키 목록입니다(일치하는 경우Method가 선택됨). 현재 경고 규칙에 정의된 키만 사용할 수 있습니다.
groupByEntities	EntityMappingType[]	그룹화할 엔터티 형식 목록입니다(matchingMethod가 선택됨인 경우). 현재 경고 규칙에 정의된 엔터티만 사용할 수 있습니다.
lookbackDuration	string	조회 기간 내에 생성된 경고로 그룹 제한(ISO 8601 기간 형식)
matchingMethod	MatchingMethod	그룹화 일치 메서드. 메서드가 groupByEntities, groupByAlertDetails 중 하나 이상인 경우 groupByCustomDetails를 제공해야 하며 비어 있지 않아야 합니다.
reopenClosedIncident	boolean	닫힌 일치 인시던트 다시 열기

IncidentConfiguration

인시던트 구성 속성 모음.

Name	형식	Description
createIncident	boolean	이 분석 규칙에 의해 트리거되는 경고에서 인시던트 만들기
groupingConfiguration	GroupingConfiguration	이 분석 규칙에 의해 트리거되는 경고가 인시던트로 그룹화되는 방법 설정

MatchingMethod

그룹화 일치 메서드. 메서드가 groupByEntities, groupByAlertDetails 중 하나 이상인 경우 groupByCustomDetails를 제공해야 하며 비어 있지 않아야 합니다.

Name	형식	Description
AllEntities	string	모든 엔터티가 일치하는 경우 경고를 단일 인시던트로 그룹화
AnyAlert	string	이 규칙에 의해 트리거된 모든 경고를 단일 인시던트로 그룹화
Selected	string	선택한 엔터티, 사용자 지정 세부 정보 및 경고 세부 정보가 일치하는 경우 경고를 단일 인시던트로 그룹화

MicrosoftSecurityIncidentCreationAlertRule

MicrosoftSecurityIncidentCreation 규칙을 나타냅니다.

Name	형식	Description
etag	string	Azure 리소스의 Etag
id	string	리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: MicrosoftSecurityIncidentCreation	경고 규칙 종류
name	string	리소스의 이름입니다.
properties.alertRuleTemplateName	string	이 규칙을 만드는 데 사용되는 경고 규칙 템플릿의 이름입니다.
properties.description	string	경고 규칙에 대한 설명입니다.
properties.displayName	string	이 경고 규칙에서 만든 경고의 표시 이름입니다.
properties.displayNamesExcludeFilter	string[]	사례가 생성되지 않는 경고의 displayNames
properties.displayNamesFilter	string[]	사례가 생성될 경고의 displayNames
properties.enabled	boolean	이 경고 규칙의 사용 여부를 결정합니다.
properties.lastModifiedUtc	string	이 경고가 마지막으로 수정된 시간입니다.
properties.productFilter	MicrosoftSecurityProductName	사례가 생성될 경고의 productName
properties.severitiesFilter	AlertSeverity[]	사례가 생성되는 경고의 심각도
systemData	systemData	createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다.
type	string	리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts"

MicrosoftSecurityProductName

사례가 생성될 경고의 productName

Name	형식	Description
Azure Active Directory Identity Protection	string
Azure Advanced Threat Protection	string
Azure Security Center	string
Azure Security Center for IoT	string
Microsoft Cloud App Security	string

ScheduledAlertRule

예약된 경고 규칙을 나타냅니다.

Name	형식	Description
etag	string	Azure 리소스의 Etag
id	string	리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: Scheduled	경고 규칙 종류
name	string	리소스의 이름입니다.
properties.alertDetailsOverride	AlertDetailsOverride	경고 세부 정보 재정의 설정
properties.alertRuleTemplateName	string	이 규칙을 만드는 데 사용되는 경고 규칙 템플릿의 이름입니다.
properties.customDetails	object	경고에 연결할 열의 문자열 키-값 쌍 사전
properties.description	string	경고 규칙에 대한 설명입니다.
properties.displayName	string	이 경고 규칙에서 만든 경고의 표시 이름입니다.
properties.enabled	boolean	이 경고 규칙의 사용 여부를 결정합니다.
properties.entityMappings	EntityMapping[]	경고 규칙의 엔터티 매핑 배열
properties.eventGroupingSettings	EventGroupingSettings	이벤트 그룹화 설정입니다.
properties.incidentConfiguration	IncidentConfiguration	이 분석 규칙에 의해 트리거된 경고에서 생성된 인시던트 설정
properties.lastModifiedUtc	string	이 경고 규칙이 마지막으로 수정된 시간입니다.
properties.query	string	이 규칙에 대한 경고를 만드는 쿼리입니다.
properties.queryFrequency	string	이 경고 규칙을 실행할 빈도(ISO 8601 기간 형식)입니다.
properties.queryPeriod	string	이 경고 규칙이 보는 기간(ISO 8601 기간 형식)입니다.
properties.severity	AlertSeverity	이 경고 규칙에서 만든 경고의 심각도입니다.
properties.suppressionDuration	string	이 경고 규칙이 마지막으로 트리거된 이후 대기할 표시 안 함(ISO 8601 기간 형식)입니다.
properties.suppressionEnabled	boolean	이 경고 규칙에 대한 표시 안 함을 사용할지 아니면 사용하지 않도록 설정할지 여부를 결정합니다.
properties.tactics	AttackTactic[]	경고 규칙의 전술
properties.techniques	string[]	경고 규칙의 기술
properties.templateVersion	string	이 규칙을 만드는 데 사용되는 경고 규칙 템플릿의 버전입니다. a.b.c> 형식<으로, 모두 숫자입니다(예: 0 <1.0.2).>
properties.triggerOperator	TriggerOperator	경고 규칙을 트리거하는 임계값에 대한 작업입니다.
properties.triggerThreshold	integer	임계값은 이 경고 규칙을 트리거합니다.
systemData	systemData	createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다.
type	string	리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts"

systemData

리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다.

Name	형식	Description
createdAt	string	UTC(리소스 만들기)의 타임스탬프입니다.
createdBy	string	리소스를 만든 ID입니다.
createdByType	createdByType	리소스를 만든 ID 유형입니다.
lastModifiedAt	string	리소스 마지막 수정의 타임스탬프(UTC)
lastModifiedBy	string	리소스를 마지막으로 수정한 ID입니다.
lastModifiedByType	createdByType	리소스를 마지막으로 수정한 ID 유형입니다.

TriggerOperator

경고 규칙을 트리거하는 임계값에 대한 작업입니다.

Name	형식	Description
Equal	string
GreaterThan	string
LessThan	string
NotEqual	string