Microsoft.SecurityInsights alertRules
- Laatste
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2021-03-01-preview
- 2020-01-01
- 01-01-2019-preview
Bicep-resourcedefinitie
Het resourcetype alertRules is een extensieresource, wat betekent dat u deze kunt toepassen op een andere resource.
Gebruik de scope
eigenschap voor deze resource om het bereik voor deze resource in te stellen. Zie Bereik instellen voor extensieresources in Bicep.
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Resource Microsoft.SecurityInsights/alertRules wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2023-02-01-preview' = {
name: 'string'
kind: 'string'
scope: resourceSymbolicName
etag: 'string'
// For remaining properties, see alertRules objects
}
alertRules-objecten
Stel de eigenschap Soort in om het type object op te geven.
Gebruik voor Fusion:
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
scenarioExclusionPatterns: [
{
dateAddedInUTC: 'string'
exclusionPattern: 'string'
}
]
sourceSettings: [
{
enabled: bool
sourceName: 'string'
sourceSubTypes: [
{
enabled: bool
severityFilters: {
filters: [
{
enabled: bool
severity: 'string'
}
]
}
sourceSubTypeName: 'string'
}
]
}
]
}
Gebruik voor MicrosoftSecurityIncidentCreation:
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
Voor MLBehaviorAnalytics gebruikt u:
kind: 'MLBehaviorAnalytics'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Gebruik voor NRT:
kind: 'NRT'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
sentinelEntitiesMappings: [
{
columnName: 'string'
}
]
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
}
Voor Gepland gebruikt u:
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
sentinelEntitiesMappings: [
{
columnName: 'string'
}
]
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
Voor ThreatIntelligence gebruikt u:
kind: 'ThreatIntelligence'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Eigenschapswaarden
alertRules
Naam | Beschrijving | Waarde |
---|---|---|
naam | De resourcenaam | tekenreeks (vereist) |
Soort | Het objecttype instellen | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Gepland ThreatIntelligence (vereist) |
scope | Gebruik deze optie bij het maken van een extensieresource voor een ander bereik dan het implementatiebereik. | Doelbron Stel voor Bicep deze eigenschap in op de symbolische naam van de resource om de extensieresource toe te passen. |
etag | Etag van de Azure-resource | tekenreeks |
FusionAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'Fusion' (vereist) |
properties | Eigenschappen van fusion-waarschuwingsregel | FusionAlertRuleProperties |
FusionAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
scenarioExclusionPatterns | Configuratie om scenario's in fusiedetectie uit te sluiten. | FusionScenarioExclusionPattern[] |
sourceSettings | Configuratie voor alle ondersteunde bronsignalen in fusiedetectie. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
Naam | Beschrijving | Waarde |
---|---|---|
dateAddedInUTC | DateTime wanneer het uitsluitingspatroon voor scenario's wordt toegevoegd in UTC. | tekenreeks (vereist) |
exclusionPattern | Scenario-uitsluitingspatroon. | tekenreeks (vereist) |
FusionSourceSettings
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of dit bronsignaal is ingeschakeld of uitgeschakeld in fusiondetectie. | bool (vereist) |
Sourcename | Naam van het Fusion-bronsignaal. Raadpleeg de Sjabloon voor Fusion-waarschuwingsregel voor ondersteunde waarden. | tekenreeks (vereist) |
sourceSubTypes | Configuratie voor alle bronsubtypen onder dit bronsignaal dat wordt gebruikt voor fusiedetectie. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of dit bronsubtype onder bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. | bool (vereist) |
severityFilters | Ernstconfiguratie voor een bronsubtype dat wordt gebruikt bij fusiedetectie. | FusionSubTypeSeverityFilter (vereist) |
sourceSubTypeName | De naam van het bronsubtype onder een bepaald bronsignaal in Fusion-detectie. Raadpleeg de Sjabloon voor Fusion-waarschuwingsregel voor ondersteunde waarden. | tekenreeks (vereist) |
FusionSubTypeSeverityFilter
Naam | Beschrijving | Waarde |
---|---|---|
filters | Configuratie-instellingen voor afzonderlijke ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of deze ernst is in- of uitgeschakeld voor dit bronsubtype dat wordt gebruikt in Fusion-detectie. | bool (vereist) |
ernst | De ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. | 'Hoog' 'Informatie' 'Laag' 'Gemiddeld' (vereist) |
MicrosoftSecurityIncidentCreationAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'MicrosoftSecurityIncidentCreation' (vereist) |
properties | Eigenschappen van MicrosoftSecurityIncidentCreation-regels | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
displayNamesExcludeFilter | de displayNames van de waarschuwingen waarop de aanvragen niet worden gegenereerd | tekenreeks[] |
displayNamesFilter | de displayNames van de waarschuwingen waarop de aanvragen worden gegenereerd | tekenreeks[] |
enabled | Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. | bool (vereist) |
productFilter | ProductName van de waarschuwingen waarop de aanvragen worden gegenereerd | 'Azure Active Directory Identity Protection' 'Azure Advanced Threat Protection' 'Azure Security Center voor IoT' 'Azure Security Center' 'Microsoft Cloud App Security' 'Microsoft Defender Advanced Threat Protection' 'Office 365 Advanced Threat Protection' (vereist) |
severitiesFilter | de ernst van de waarschuwingen waarop de aanvragen worden gegenereerd | Tekenreeksmatrix met een van de volgende: 'Hoog' 'Informatie' 'Laag' 'Gemiddeld' |
MLBehaviorAnalyticsAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'MLBehaviorAnalytics' (vereist) |
properties | Eigenschappen van MLBehaviorAnalytics-waarschuwingsregel | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
NrtAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'NRT' (vereist) |
properties | Eigenschappen van NRT-waarschuwingsregel | NrtAlertRuleProperties |
NrtAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertDetailsOverride | De instellingen voor het overschrijven van waarschuwingsdetails | AlertDetailsOverride |
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
customDetails | Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld | object |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
entityMappings | Matrix van de entiteitstoewijzingen van de waarschuwingsregel | EntityMapping[] |
eventGroupingSettings | De instellingen voor gebeurtenisgroepering. | EventGroupingSettings |
incidentConfiguration | De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die zijn geactiveerd door deze analyseregel | IncidentConfiguration |
query | De query waarmee waarschuwingen voor deze regel worden gemaakt. | tekenreeks (vereist) |
sentinelEntitiesMappings | Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel | SentinelEntityMapping[] |
ernst | De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. | 'Hoog' 'Informatie' 'Laag' 'Gemiddeld' (vereist) |
suppressionDuration | De onderdrukking (in iso 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. | tekenreeks (vereist) |
suppressionEnabled | Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
Tactiek | De tactieken van de waarschuwingsregel | Tekenreeksmatrix met een van de volgende waarden: 'Verzameling' 'CommandAndControl' CredentialAccess 'DefenseEvasion' 'Detectie' 'Uitvoering' 'Exfiltratie' 'Impact' 'ImpairProcessControl' 'InhibitResponseFunction' 'InitialAccess' 'LateralMovement' 'Persistentie' 'PreAttack' 'PrivilegeEscalation' 'Reconnaissance' 'ResourceOntwikkeling' |
Technieken | De technieken van de waarschuwingsregel | tekenreeks[] |
templateVersion | De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} | tekenreeks |
AlertDetailsOverride
Naam | Beschrijving | Waarde |
---|---|---|
alertDescriptionFormat | de indeling met kolomnamen om de beschrijving van de waarschuwing te overschrijven | tekenreeks |
alertDisplayNameFormat | de indeling met kolomnamen om de naam van de waarschuwing te overschrijven | tekenreeks |
alertDynamicProperties | Lijst met aanvullende dynamische eigenschappen die moeten worden overschreven | AlertPropertyMapping[] |
alertSeverityColumnName | de kolomnaam waaruit de ernst van de waarschuwing moet worden afgeleid | tekenreeks |
alertTacticsColumnName | de kolomnaam waaruit u de waarschuwingstactieken wilt halen | tekenreeks |
AlertPropertyMapping
Naam | Beschrijving | Waarde |
---|---|---|
alertProperty | De eigenschap V3-waarschuwing | 'AlertLink' 'ConfidenceLevel' 'ConfidenceScore' 'ExtendedLinks' 'ProductComponentName' 'ProductName' 'ProviderName' 'RemediationSteps' 'Technieken' |
waarde | de kolomnaam die moet worden gebruikt om deze eigenschap te overschrijven | tekenreeks |
EntityMapping
Naam | Beschrijving | Waarde |
---|---|---|
entityType | Het V3-type van de toegewezen entiteit | 'Account' 'AzureResource' 'CloudApplication' 'DNS' 'Bestand' 'FileHash' 'Host' 'IP' 'MailCluster' 'MailMessage' 'Postvak' 'Malware' 'Proces' 'RegistryKey' 'RegistryValue' 'SecurityGroup' 'SubmissionMail' 'URL' |
fieldMappings | matrix met veldtoewijzingen voor de opgegeven entiteitstoewijzing | FieldMapping[] |
FieldMapping
Naam | Beschrijving | Waarde |
---|---|---|
columnName | de kolomnaam die moet worden toegewezen aan de id | tekenreeks |
Id | de V3-id van de entiteit | tekenreeks |
EventGroupingSettings
Naam | Beschrijving | Waarde |
---|---|---|
aggregationKind | De aggregatietypen voor gebeurtenisgroepering | 'AlertPerResult' 'SingleAlert' |
IncidentConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
createIncident | Incidenten maken van waarschuwingen die worden geactiveerd door deze analyseregel | bool (vereist) |
groupingConfiguration | Instellen hoe de waarschuwingen die door deze analyseregel worden geactiveerd, worden gegroepeerd in incidenten | GroupingConfiguration |
GroupingConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Groeperen ingeschakeld | bool (vereist) |
groupByAlertDetails | Een lijst met waarschuwingsdetails waarop u wilt groeperen (wanneer matchingMethod is geselecteerd) | Tekenreeksmatrix met een van de volgende waarden: 'DisplayName' Ernst |
groupByCustomDetails | Een lijst met aangepaste detailssleutels waarop u kunt groeperen (wanneer matchingMethod is geselecteerd). Alleen sleutels die zijn gedefinieerd in de huidige waarschuwingsregel mogen worden gebruikt. | tekenreeks[] |
groupByEntities | Een lijst met entiteitstypen waarop u wilt groeperen (wanneer matchingMethod is geselecteerd). Alleen entiteiten die zijn gedefinieerd in de huidige waarschuwingsregel kunnen worden gebruikt. | Tekenreeksmatrix met een van de volgende waarden: 'Account' 'AzureResource' 'CloudApplication' 'DNS' 'Bestand' 'FileHash' 'Host' 'IP' 'MailCluster' 'MailMessage' 'Postvak' 'Malware' 'Proces' 'RegistryKey' 'RegistryValue' 'SecurityGroup' 'SubmissionMail' 'URL' |
lookbackDuration | De groep beperken tot waarschuwingen die zijn gemaakt binnen de duur van de lookback (in ISO 8601-duurnotatie) | tekenreeks (vereist) |
matchingMethod | Groeperingsmethode voor overeenkomende gegevens. Wanneer de methode Selected is ten minste één van groupByEntities, groupByAlertDetails, moet groupByCustomDetails worden opgegeven en niet leeg zijn. | 'Alle entiteiten' 'AnyAlert' 'Geselecteerd' (vereist) |
reopenClosedIncident | Gesloten overeenkomende incidenten opnieuw openen | bool (vereist) |
SentinelEntityMapping
Naam | Beschrijving | Waarde |
---|---|---|
columnName | de kolomnaam die moet worden toegewezen aan de Sentinel-entiteiten | tekenreeks |
ScheduledAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | Gepland (vereist) |
properties | Eigenschappen van geplande waarschuwingsregel | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertDetailsOverride | De instellingen voor het overschrijven van waarschuwingsdetails | AlertDetailsOverride |
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
customDetails | Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld | object |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
entityMappings | Matrix van de entiteitstoewijzingen van de waarschuwingsregel | EntityMapping[] |
eventGroupingSettings | De instellingen voor gebeurtenisgroepering. | EventGroupingSettings |
incidentConfiguration | De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die zijn geactiveerd door deze analyseregel | IncidentConfiguration |
query | De query waarmee waarschuwingen voor deze regel worden gemaakt. | tekenreeks |
queryFrequency | De frequentie (in ISO 8601-duurnotatie) voor het uitvoeren van deze waarschuwingsregel. | tekenreeks |
queryPeriod | De periode (in ISO 8601-duurnotatie) waarnaar deze waarschuwingsregel kijkt. | tekenreeks |
sentinelEntitiesMappings | Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel | SentinelEntityMapping[] |
ernst | De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. | 'Hoog' 'Informatie' 'Laag' 'Gemiddeld' |
suppressionDuration | De onderdrukking (in iso 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. | tekenreeks (vereist) |
suppressionEnabled | Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
Tactiek | De tactieken van de waarschuwingsregel | Tekenreeksmatrix met een van de volgende waarden: 'Verzameling' 'CommandAndControl' CredentialAccess 'DefenseEvasion' 'Detectie' 'Uitvoering' 'Exfiltratie' 'Impact' 'ImpairProcessControl' 'InhibitResponseFunction' 'InitialAccess' 'LateralMovement' 'Persistentie' 'PreAttack' 'PrivilegeEscalation' 'Reconnaissance' 'ResourceOntwikkeling' |
Technieken | De technieken van de waarschuwingsregel | tekenreeks[] |
templateVersion | De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} | tekenreeks |
triggerOperator | De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. | 'Gelijk' 'GreaterThan' 'LessThan' 'NotEqual' |
triggerThreshold | De drempelwaarde activeert deze waarschuwingsregel. | int |
ThreatIntelligenceAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | ThreatIntelligence (vereist) |
properties | Eigenschappen van waarschuwingsregel voor bedreigingsinformatie | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
Snelstartsjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
Template | Beschrijving |
---|---|
Hiermee maakt u een nieuwe regel voor geplande analyse van Microsoft Sentinel |
In dit voorbeeld ziet u hoe u een nieuwe regel voor geplande analyse maakt in Microsoft Sentinel |
Resourcedefinitie van ARM-sjabloon
Het resourcetype alertRules is een extensieresource, wat betekent dat u deze kunt toepassen op een andere resource.
Gebruik de scope
eigenschap voor deze resource om het bereik voor deze resource in te stellen. Zie Bereik instellen voor extensieresources in ARM-sjablonen.
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een resource Microsoft.SecurityInsights/alertRules wilt maken, voegt u de volgende JSON toe aan uw sjabloon.
{
"type": "Microsoft.SecurityInsights/alertRules",
"apiVersion": "2023-02-01-preview",
"name": "string",
"kind": "string",
"scope": "string",
"etag": "string",
// For remaining properties, see alertRules objects
}
alertRules-objecten
Stel de eigenschap Soort in om het type object op te geven.
Gebruik voor Fusion:
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool",
"scenarioExclusionPatterns": [
{
"dateAddedInUTC": "string",
"exclusionPattern": "string"
}
],
"sourceSettings": [
{
"enabled": "bool",
"sourceName": "string",
"sourceSubTypes": [
{
"enabled": "bool",
"severityFilters": {
"filters": [
{
"enabled": "bool",
"severity": "string"
}
]
},
"sourceSubTypeName": "string"
}
]
}
]
}
Gebruik voor MicrosoftSecurityIncidentCreation:
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
Voor MLBehaviorAnalytics gebruikt u:
"kind": "MLBehaviorAnalytics",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Gebruik voor NRT:
"kind": "NRT",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"sentinelEntitiesMappings": [
{
"columnName": "string"
}
],
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string"
}
Voor Gepland gebruikt u:
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"sentinelEntitiesMappings": [
{
"columnName": "string"
}
],
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
Voor ThreatIntelligence gebruikt u:
"kind": "ThreatIntelligence",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Eigenschapswaarden
alertRules
Naam | Beschrijving | Waarde |
---|---|---|
type | Het resourcetype | 'Microsoft.SecurityInsights/alertRules' |
apiVersion | De resource-API-versie | '2023-02-01-preview' |
naam | De resourcenaam | tekenreeks (vereist) |
Soort | Het objecttype instellen | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Gepland ThreatIntelligence (vereist) |
scope | Gebruik deze optie bij het maken van een extensieresource voor een ander bereik dan het implementatiebereik. | Doelbron Stel voor JSON de waarde in op de volledige naam van de resource om de extensieresource op toe te passen. |
etag | Etag van de Azure-resource | tekenreeks |
FusionAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'Fusion' (vereist) |
properties | Eigenschappen van fusion-waarschuwingsregel | FusionAlertRuleProperties |
FusionAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
scenarioExclusionPatterns | Configuratie om scenario's in fusiedetectie uit te sluiten. | FusionScenarioExclusionPattern[] |
sourceSettings | Configuratie voor alle ondersteunde bronsignalen in fusiedetectie. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
Naam | Beschrijving | Waarde |
---|---|---|
dateAddedInUTC | DateTime wanneer het uitsluitingspatroon voor scenario's wordt toegevoegd in UTC. | tekenreeks (vereist) |
exclusionPattern | Scenario-uitsluitingspatroon. | tekenreeks (vereist) |
FusionSourceSettings
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of dit bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. | bool (vereist) |
Sourcename | Naam van het Fusion-bronsignaal. Raadpleeg de sjabloon Fusion-waarschuwingsregel voor ondersteunde waarden. | tekenreeks (vereist) |
sourceSubTypes | Configuratie voor alle bronsubtypen onder dit bronsignaal dat wordt gebruikt bij fusiedetectie. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of dit bronsubtype onder bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. | bool (vereist) |
severityFilters | Ernstconfiguratie voor een bronsubtype dat wordt gebruikt bij fusiedetectie. | FusionSubTypeSeverityFilter (vereist) |
sourceSubTypeName | De naam van het bronsubtype onder een bepaald bronsignaal in Fusion-detectie. Raadpleeg de sjabloon Fusion-waarschuwingsregel voor ondersteunde waarden. | tekenreeks (vereist) |
FusionSubTypeSeverityFilter
Naam | Beschrijving | Waarde |
---|---|---|
filters | Configuratie-instellingen voor afzonderlijke ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of deze ernst is ingeschakeld of uitgeschakeld voor dit bronsubtype dat wordt gebruikt in Fusion-detectie. | bool (vereist) |
ernst | De ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. | 'Hoog' 'Informatie' 'Laag' 'Gemiddeld' (vereist) |
MicrosoftSecurityIncidentCreationAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'MicrosoftSecurityIncidentCreation' (vereist) |
properties | MicrosoftSecurityIncidentCreation-regeleigenschappen | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
displayNamesExcludeFilter | de displayNames van de waarschuwingen waarop de cases niet worden gegenereerd | tekenreeks[] |
displayNamesFilter | de displayNames van de waarschuwingen waarop de cases worden gegenereerd | tekenreeks[] |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
productFilter | De productName van de waarschuwingen waarop de cases worden gegenereerd | 'Azure Active Directory Identity Protection' 'Azure Advanced Threat Protection' 'Azure Security Center voor IoT' 'Azure Security Center' 'Microsoft Cloud App Security' 'Microsoft Defender Advanced Threat Protection' 'Office 365 Advanced Threat Protection' (vereist) |
ernstfilter | de ernst van de waarschuwingen waarop de cases worden gegenereerd | Tekenreeksmatrix met een van de volgende waarden: 'Hoog' 'Informatie' 'Laag' 'Gemiddeld' |
MLBehaviorAnalyticsAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'MLBehaviorAnalytics' (vereist) |
properties | Eigenschappen van MLBehaviorAnalytics-waarschuwingsregel | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
NrtAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'NRT' (vereist) |
properties | Eigenschappen van NRT-waarschuwingsregel | NrtAlertRuleProperties |
NrtAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertDetailsOverride | De instellingen voor het overschrijven van waarschuwingsdetails | AlertDetailsOverride |
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
customDetails | Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld | object |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. | bool (vereist) |
entityMappings | Matrix van de entiteitstoewijzingen van de waarschuwingsregel | EntityMapping[] |
eventGroupingSettings | De instellingen voor het groeperen van gebeurtenissen. | EventGroupingSettings |
incidentConfiguration | De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die worden geactiveerd door deze analyseregel | IncidentConfiguration |
query | De query waarmee waarschuwingen voor deze regel worden gemaakt. | tekenreeks (vereist) |
sentinelEntitiesMappings | Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel | SentinelEntityMapping[] |
ernst | De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. | 'Hoog' 'Informatie' 'Laag' 'Gemiddeld' (vereist) |
suppressDuration | De onderdrukking (in ISO 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. | tekenreeks (vereist) |
suppressEnabled | Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
Tactiek | De tactieken van de waarschuwingsregel | Tekenreeksmatrix met een van de volgende: 'Verzameling' 'CommandAndControl' 'CredentialAccess' 'DefenseEvasion' 'Detectie' 'Uitvoering' 'Exfiltratie' 'Impact' 'ImpairProcessControl' 'InhibitResponseFunction' 'InitialAccess' 'LateralMovement' 'Persistentie' 'PreAttack' 'PrivilegeEscalation' 'Reconnaissance' 'ResourceOntwikkeling' |
Technieken | De technieken van de waarschuwingsregel | tekenreeks[] |
templateVersion | De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} | tekenreeks |
AlertDetailsOverride
Naam | Beschrijving | Waarde |
---|---|---|
alertDescriptionFormat | de indeling met kolomnamen om de beschrijving van de waarschuwing te overschrijven | tekenreeks |
alertDisplayNameFormat | de indeling met kolomnamen om de naam van de waarschuwing te overschrijven | tekenreeks |
alertDynamicProperties | Lijst met aanvullende dynamische eigenschappen die moeten worden overschreven | AlertPropertyMapping[] |
alertSeverityColumnName | de kolomnaam waaruit de ernst van de waarschuwing moet worden afgeleid | tekenreeks |
alertTacticsColumnName | de kolomnaam waaruit u de waarschuwingstactieken wilt halen | tekenreeks |
AlertPropertyMapping
Naam | Beschrijving | Waarde |
---|---|---|
alertProperty | De eigenschap V3-waarschuwing | 'AlertLink' 'ConfidenceLevel' 'ConfidenceScore' 'ExtendedLinks' 'ProductComponentName' 'ProductName' 'ProviderName' 'RemediationSteps' 'Technieken' |
waarde | de kolomnaam die moet worden gebruikt om deze eigenschap te overschrijven | tekenreeks |
EntityMapping
Naam | Beschrijving | Waarde |
---|---|---|
entityType | Het V3-type van de toegewezen entiteit | 'Account' 'AzureResource' 'CloudApplication' 'DNS' 'Bestand' 'FileHash' 'Host' 'IP' 'MailCluster' 'MailMessage' 'Postvak' 'Malware' 'Proces' 'RegistryKey' 'RegistryValue' 'SecurityGroup' 'SubmissionMail' 'URL' |
fieldMappings | matrix van veldtoewijzingen voor de opgegeven entiteitstoewijzing | FieldMapping[] |
FieldMapping
Naam | Beschrijving | Waarde |
---|---|---|
columnName | de kolomnaam die moet worden toegewezen aan de id | tekenreeks |
Id | de V3-id van de entiteit | tekenreeks |
EventGroupingSettings
Naam | Beschrijving | Waarde |
---|---|---|
aggregationKind | De aggregatietypen voor gebeurtenisgroepering | 'AlertPerResult' 'SingleAlert' |
IncidentConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
createIncident | Incidenten maken van waarschuwingen die worden geactiveerd door deze analyseregel | bool (vereist) |
groupingConfiguration | Instellen hoe de waarschuwingen die door deze analyseregel worden geactiveerd, worden gegroepeerd in incidenten | GroupingConfiguration |
GroupingConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Groeperen ingeschakeld | bool (vereist) |
groupByAlertDetails | Een lijst met waarschuwingsdetails waarop u kunt groeperen (wanneer matchingMethod is geselecteerd) | Tekenreeksmatrix met een van de volgende waarden: 'DisplayName' Ernst |
groupByCustomDetails | Een lijst met aangepaste detailssleutels waarop u kunt groeperen (wanneer matchingMethod is geselecteerd). Alleen sleutels die zijn gedefinieerd in de huidige waarschuwingsregel mogen worden gebruikt. | tekenreeks[] |
groupByEntities | Een lijst met entiteitstypen waarop u wilt groeperen (wanneer matchingMethod is geselecteerd). Alleen entiteiten die zijn gedefinieerd in de huidige waarschuwingsregel kunnen worden gebruikt. | Tekenreeksmatrix met een van de volgende waarden: 'Account' 'AzureResource' 'CloudApplication' 'DNS' 'Bestand' 'FileHash' 'Host' 'IP' 'MailCluster' 'MailMessage' 'Postvak' 'Malware' 'Proces' 'RegistryKey' 'RegistryValue' 'SecurityGroup' 'SubmissionMail' 'URL' |
lookbackDuration | De groep beperken tot waarschuwingen die zijn gemaakt binnen de duur van de lookback (in ISO 8601-duurnotatie) | tekenreeks (vereist) |
matchingMethod | Groeperingsmethode voor overeenkomende gegevens. Wanneer de methode Selected is ten minste één van groupByEntities, groupByAlertDetails, moet groupByCustomDetails worden opgegeven en niet leeg zijn. | 'Alle entiteiten' 'AnyAlert' 'Geselecteerd' (vereist) |
reopenClosedIncident | Gesloten overeenkomende incidenten opnieuw openen | bool (vereist) |
SentinelEntityMapping
Naam | Beschrijving | Waarde |
---|---|---|
columnName | de kolomnaam die moet worden toegewezen aan de Sentinel-entiteiten | tekenreeks |
ScheduledAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | Gepland (vereist) |
properties | Eigenschappen van geplande waarschuwingsregel | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertDetailsOverride | De instellingen voor het overschrijven van waarschuwingsdetails | AlertDetailsOverride |
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
customDetails | Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld | object |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
entityMappings | Matrix van de entiteitstoewijzingen van de waarschuwingsregel | EntityMapping[] |
eventGroupingSettings | De instellingen voor gebeurtenisgroepering. | EventGroupingSettings |
incidentConfiguration | De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die zijn geactiveerd door deze analyseregel | IncidentConfiguration |
query | De query waarmee waarschuwingen voor deze regel worden gemaakt. | tekenreeks |
queryFrequency | De frequentie (in ISO 8601-duurnotatie) voor het uitvoeren van deze waarschuwingsregel. | tekenreeks |
queryPeriod | De periode (in ISO 8601-duurnotatie) waarnaar deze waarschuwingsregel kijkt. | tekenreeks |
sentinelEntitiesMappings | Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel | SentinelEntityMapping[] |
ernst | De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. | 'Hoog' 'Informatie' 'Laag' 'Gemiddeld' |
suppressionDuration | De onderdrukking (in iso 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. | tekenreeks (vereist) |
suppressionEnabled | Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
Tactiek | De tactieken van de waarschuwingsregel | Tekenreeksmatrix met een van de volgende waarden: 'Verzameling' 'CommandAndControl' CredentialAccess 'DefenseEvasion' 'Detectie' 'Uitvoering' 'Exfiltratie' 'Impact' 'ImpairProcessControl' 'InhibitResponseFunction' 'InitialAccess' 'LateralMovement' 'Persistentie' 'PreAttack' 'PrivilegeEscalation' 'Reconnaissance' 'ResourceOntwikkeling' |
Technieken | De technieken van de waarschuwingsregel | tekenreeks[] |
templateVersion | De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} | tekenreeks |
triggerOperator | De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. | 'Gelijk' 'GreaterThan' 'LessThan' 'NotEqual' |
triggerThreshold | De drempelwaarde activeert deze waarschuwingsregel. | int |
ThreatIntelligenceAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | ThreatIntelligence (vereist) |
properties | Eigenschappen van waarschuwingsregel voor bedreigingsinformatie | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
Snelstartsjablonen
Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.
Template | Beschrijving |
---|---|
Hiermee maakt u een nieuwe regel voor geplande analyse van Microsoft Sentinel |
In dit voorbeeld ziet u hoe u een nieuwe regel voor geplande analyse maakt in Microsoft Sentinel |
Resourcedefinitie van Terraform (AzAPI-provider)
Het resourcetype alertRules is een extensieresource, wat betekent dat u deze kunt toepassen op een andere resource.
Gebruik de parent_id
eigenschap voor deze resource om het bereik voor deze resource in te stellen.
Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.
Resource-indeling
Als u een Resource Microsoft.SecurityInsights/alertRules wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/alertRules@2023-02-01-preview"
name = "string"
parent_id = "string"
// For remaining properties, see alertRules objects
body = jsonencode({
kind = "string"
etag = "string"
})
}
alertRules-objecten
Stel de eigenschap Soort in om het type object op te geven.
Gebruik voor Fusion:
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
scenarioExclusionPatterns = [
{
dateAddedInUTC = "string"
exclusionPattern = "string"
}
]
sourceSettings = [
{
enabled = bool
sourceName = "string"
sourceSubTypes = [
{
enabled = bool
severityFilters = {
filters = [
{
enabled = bool
severity = "string"
}
]
}
sourceSubTypeName = "string"
}
]
}
]
}
Gebruik voor MicrosoftSecurityIncidentCreation:
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
Voor MLBehaviorAnalytics gebruikt u:
kind = "MLBehaviorAnalytics"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Gebruik voor NRT:
kind = "NRT"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
sentinelEntitiesMappings = [
{
columnName = "string"
}
]
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
}
Voor Gepland gebruikt u:
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
sentinelEntitiesMappings = [
{
columnName = "string"
}
]
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
Voor ThreatIntelligence gebruikt u:
kind = "ThreatIntelligence"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Eigenschapswaarden
alertRules
Naam | Beschrijving | Waarde |
---|---|---|
type | Het resourcetype | "Microsoft.SecurityInsights/alertRules@2023-02-01-preview" |
naam | De resourcenaam | tekenreeks (vereist) |
parent_id | De id van de resource om deze extensieresource op toe te passen. | tekenreeks (vereist) |
Soort | Het objecttype instellen | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Gepland ThreatIntelligence (vereist) |
etag | Etag van de Azure-resource | tekenreeks |
FusionAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | "Fusion" (vereist) |
properties | Eigenschappen van fusion-waarschuwingsregel | FusionAlertRuleProperties |
FusionAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
scenarioExclusionPatterns | Configuratie om scenario's in fusiedetectie uit te sluiten. | FusionScenarioExclusionPattern[] |
sourceSettings | Configuratie voor alle ondersteunde bronsignalen in fusiedetectie. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
Naam | Beschrijving | Waarde |
---|---|---|
dateAddedInUTC | DateTime wanneer het uitsluitingspatroon voor scenario's wordt toegevoegd in UTC. | tekenreeks (vereist) |
exclusionPattern | Scenario-uitsluitingspatroon. | tekenreeks (vereist) |
FusionSourceSettings
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of dit bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. | bool (vereist) |
Sourcename | Naam van het Fusion-bronsignaal. Raadpleeg de sjabloon Fusion-waarschuwingsregel voor ondersteunde waarden. | tekenreeks (vereist) |
sourceSubTypes | Configuratie voor alle bronsubtypen onder dit bronsignaal dat wordt gebruikt bij fusiedetectie. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of dit bronsubtype onder bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. | bool (vereist) |
severityFilters | Ernstconfiguratie voor een bronsubtype dat wordt gebruikt bij fusiedetectie. | FusionSubTypeSeverityFilter (vereist) |
sourceSubTypeName | De naam van het bronsubtype onder een bepaald bronsignaal in Fusion-detectie. Raadpleeg de sjabloon Fusion-waarschuwingsregel voor ondersteunde waarden. | tekenreeks (vereist) |
FusionSubTypeSeverityFilter
Naam | Beschrijving | Waarde |
---|---|---|
filters | Configuratie-instellingen voor afzonderlijke ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Bepaalt of deze ernst is ingeschakeld of uitgeschakeld voor dit bronsubtype dat wordt gebruikt in Fusion-detectie. | bool (vereist) |
ernst | De ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. | "Hoog" "Informatie" "Laag" 'Gemiddeld' (vereist) |
MicrosoftSecurityIncidentCreationAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | 'MicrosoftSecurityIncidentCreation' (vereist) |
properties | MicrosoftSecurityIncidentCreation-regeleigenschappen | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
displayNamesExcludeFilter | de displayNames van de waarschuwingen waarop de cases niet worden gegenereerd | tekenreeks[] |
displayNamesFilter | de displayNames van de waarschuwingen waarop de cases worden gegenereerd | tekenreeks[] |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
productFilter | De productName van de waarschuwingen waarop de cases worden gegenereerd | "Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center voor IoT" "Azure Security Center" "Microsoft Cloud App Security" "Microsoft Defender Advanced Threat Protection" 'Office 365 Advanced Threat Protection' (vereist) |
ernstfilter | de ernst van de waarschuwingen waarop de cases worden gegenereerd | Tekenreeksmatrix met een van de volgende waarden: "Hoog" "Informatie" "Laag" "Gemiddeld" |
MLBehaviorAnalyticsAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | "MLBehaviorAnalytics" (vereist) |
properties | Eigenschappen van waarschuwingsregel MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. | bool (vereist) |
NrtAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | "NRT" (vereist) |
properties | Eigenschappen van NRT-waarschuwingsregel | NrtAlertRuleProperties |
NrtAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertDetailsOverride | De instellingen voor waarschuwingsdetails overschrijven | AlertDetailsOverride |
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
customDetails | Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld | object |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. | bool (vereist) |
entityMappings | Matrix van de entiteitstoewijzingen van de waarschuwingsregel | EntityMapping[] |
eventGroupingSettings | De instellingen voor het groeperen van gebeurtenissen. | EventGroupingSettings |
incidentConfiguration | De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die worden geactiveerd door deze analyseregel | IncidentConfiguration |
query | De query waarmee waarschuwingen voor deze regel worden gemaakt. | tekenreeks (vereist) |
sentinelEntitiesMappings | Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel | SentinelEntityMapping[] |
ernst | De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. | "Hoog" "Informatie" "Laag" 'Gemiddeld' (vereist) |
suppressDuration | De onderdrukking (in ISO 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. | tekenreeks (vereist) |
suppressEnabled | Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
Tactiek | De tactieken van de waarschuwingsregel | Tekenreeksmatrix met een van de volgende: "Verzameling" "CommandAndControl" "CredentialAccess" "DefenseEvasion" "Detectie" "Uitvoering" "Exfiltratie" "Impact" "ImpairProcessControl" "InhibitResponseFunction" "InitialAccess" "LateralMovement" "Persistentie" "PreAttack" "PrivilegeEscalation" "Reconnaissance" "ResourceOntwikkeling" |
Technieken | De technieken van de waarschuwingsregel | tekenreeks[] |
templateVersion | De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} | tekenreeks |
AlertDetailsOverride
Naam | Beschrijving | Waarde |
---|---|---|
alertDescriptionFormat | de indeling met kolomnamen om de beschrijving van de waarschuwing te overschrijven | tekenreeks |
alertDisplayNameFormat | de indeling met kolomnamen om de waarschuwingsnaam te overschrijven | tekenreeks |
alertDynamicProperties | Lijst met aanvullende dynamische eigenschappen die moeten worden overschreven | AlertPropertyMapping[] |
alertSeverityColumnName | de kolomnaam waaruit de ernst van de waarschuwing moet worden opgehaald | tekenreeks |
alertTacticsColumnName | de kolomnaam waaruit de waarschuwingstactieken moeten worden overgenomen | tekenreeks |
AlertPropertyMapping
Naam | Beschrijving | Waarde |
---|---|---|
alertProperty | De eigenschap V3-waarschuwing | "AlertLink" "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" "ProductComponentName" "ProductName" "ProviderName" "RemediationSteps" "Technieken" |
waarde | de kolomnaam die moet worden gebruikt om deze eigenschap te overschrijven | tekenreeks |
EntityMapping
Naam | Beschrijving | Waarde |
---|---|---|
entityType | Het V3-type van de toegewezen entiteit | "Account" "AzureResource" "CloudApplication" "DNS" "Bestand" "FileHash" "Host" "IP" "MailCluster" "MailMessage" "Postvak" "Malware" "Verwerken" "RegistryKey" "RegistryValue" 'SecurityGroup' "SubmissionMail" "URL" |
fieldMappings | matrix van veldtoewijzingen voor de opgegeven entiteitstoewijzing | FieldMapping[] |
FieldMapping
Naam | Beschrijving | Waarde |
---|---|---|
columnName | de kolomnaam die moet worden toegewezen aan de id | tekenreeks |
Id | de V3-id van de entiteit | tekenreeks |
EventGroupingSettings
Naam | Beschrijving | Waarde |
---|---|---|
aggregationKind | De aggregatietypen voor gebeurtenisgroepering | "AlertPerResult" "SingleAlert" |
IncidentConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
createIncident | Incidenten maken van waarschuwingen die worden geactiveerd door deze analyseregel | bool (vereist) |
groupingConfiguration | Instellen hoe de waarschuwingen die door deze analyseregel worden geactiveerd, worden gegroepeerd in incidenten | GroupingConfiguration |
GroupingConfiguration
Naam | Beschrijving | Waarde |
---|---|---|
enabled | Groeperen ingeschakeld | bool (vereist) |
groupByAlertDetails | Een lijst met waarschuwingsdetails waarop u kunt groeperen (wanneer matchingMethod is geselecteerd) | Tekenreeksmatrix met een van de volgende waarden: "DisplayName" "Ernst" |
groupByCustomDetails | Een lijst met aangepaste detailssleutels waarop u kunt groeperen (wanneer matchingMethod is geselecteerd). Alleen sleutels die zijn gedefinieerd in de huidige waarschuwingsregel mogen worden gebruikt. | tekenreeks[] |
groupByEntities | Een lijst met entiteitstypen waarop u wilt groeperen (wanneer matchingMethod is geselecteerd). Alleen entiteiten die zijn gedefinieerd in de huidige waarschuwingsregel kunnen worden gebruikt. | Tekenreeksmatrix met een van de volgende waarden: "Account" "AzureResource" "CloudApplication" "DNS" "Bestand" "FileHash" "Host" "IP" "MailCluster" "MailMessage" "Postvak" "Malware" "Verwerken" "RegistryKey" "RegistryValue" 'SecurityGroup' "SubmissionMail" "URL" |
lookbackDuration | De groep beperken tot waarschuwingen die zijn gemaakt binnen de duur van de lookback (in ISO 8601-duurnotatie) | tekenreeks (vereist) |
matchingMethod | Groeperingsmethode voor overeenkomende gegevens. Wanneer de methode Selected is ten minste één van groupByEntities, groupByAlertDetails, moet groupByCustomDetails worden opgegeven en niet leeg zijn. | "Alle entiteiten" "AnyAlert" 'Geselecteerd' (vereist) |
reopenClosedIncident | Gesloten overeenkomende incidenten opnieuw openen | bool (vereist) |
SentinelEntityMapping
Naam | Beschrijving | Waarde |
---|---|---|
columnName | de kolomnaam die moet worden toegewezen aan de Sentinel-entiteiten | tekenreeks |
ScheduledAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | Gepland (vereist) |
properties | Eigenschappen van geplande waarschuwingsregel | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertDetailsOverride | De instellingen voor het overschrijven van waarschuwingsdetails | AlertDetailsOverride |
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks |
customDetails | Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld | object |
beschrijving | De beschrijving van de waarschuwingsregel. | tekenreeks |
displayName | De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
entityMappings | Matrix van de entiteitstoewijzingen van de waarschuwingsregel | EntityMapping[] |
eventGroupingSettings | De instellingen voor gebeurtenisgroepering. | EventGroupingSettings |
incidentConfiguration | De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die zijn geactiveerd door deze analyseregel | IncidentConfiguration |
query | De query waarmee waarschuwingen voor deze regel worden gemaakt. | tekenreeks |
queryFrequency | De frequentie (in ISO 8601-duurnotatie) voor het uitvoeren van deze waarschuwingsregel. | tekenreeks |
queryPeriod | De periode (in ISO 8601-duurnotatie) waarnaar deze waarschuwingsregel kijkt. | tekenreeks |
sentinelEntitiesMappings | Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel | SentinelEntityMapping[] |
ernst | De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. | "Hoog" "Informatie" "Laag" "Gemiddeld" |
suppressDuration | De onderdrukking (in ISO 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. | tekenreeks (vereist) |
suppressEnabled | Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. | bool (vereist) |
Tactiek | De tactieken van de waarschuwingsregel | Tekenreeksmatrix met een van de volgende: "Verzameling" "CommandAndControl" "CredentialAccess" "DefenseEvasion" "Detectie" "Uitvoering" "Exfiltratie" "Impact" "ImpairProcessControl" "InhibitResponseFunction" "InitialAccess" "LateralMovement" "Persistentie" "PreAttack" "PrivilegeEscalation" "Reconnaissance" "ResourceOntwikkeling" |
Technieken | De technieken van de waarschuwingsregel | tekenreeks[] |
templateVersion | De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} | tekenreeks |
triggerOperator | De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. | "Gelijk" "GreaterThan" "LessThan" "NotEqual" |
triggerThreshold | De drempelwaarde activeert deze waarschuwingsregel. | int |
ThreatIntelligenceAlertRule
Naam | Beschrijving | Waarde |
---|---|---|
Soort | Het type waarschuwingsregel | ThreatIntelligence (vereist) |
properties | Eigenschappen van waarschuwingsregels voor bedreigingsinformatie | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
Naam | Beschrijving | Waarde |
---|---|---|
alertRuleTemplateName | De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. | tekenreeks (vereist) |
enabled | Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. | bool (vereist) |
Feedback
https://aka.ms/ContentUserFeedback voor meer informatie.
Binnenkort beschikbaar: in de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. ZieFeedback verzenden en weergeven voor