Microsoft.SecurityInsights alertRules

Bicep-resourcedefinitie

Het resourcetype alertRules is een extensieresource, wat betekent dat u deze kunt toepassen op een andere resource.

Gebruik de scope eigenschap voor deze resource om het bereik voor deze resource in te stellen. Zie Bereik instellen voor extensieresources in Bicep.

Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.

Resource-indeling

Als u een Resource Microsoft.SecurityInsights/alertRules wilt maken, voegt u de volgende Bicep toe aan uw sjabloon.

resource symbolicname 'Microsoft.SecurityInsights/alertRules@2023-02-01-preview' = {
  name: 'string'
  kind: 'string'
  scope: resourceSymbolicName
  etag: 'string'
  // For remaining properties, see alertRules objects
}

alertRules-objecten

Stel de eigenschap Soort in om het type object op te geven.

Gebruik voor Fusion:

  kind: 'Fusion'
  properties: {
    alertRuleTemplateName: 'string'
    enabled: bool
    scenarioExclusionPatterns: [
      {
        dateAddedInUTC: 'string'
        exclusionPattern: 'string'
      }
    ]
    sourceSettings: [
      {
        enabled: bool
        sourceName: 'string'
        sourceSubTypes: [
          {
            enabled: bool
            severityFilters: {
              filters: [
                {
                  enabled: bool
                  severity: 'string'
                }
              ]
            }
            sourceSubTypeName: 'string'
          }
        ]
      }
    ]
  }

Gebruik voor MicrosoftSecurityIncidentCreation:

  kind: 'MicrosoftSecurityIncidentCreation'
  properties: {
    alertRuleTemplateName: 'string'
    description: 'string'
    displayName: 'string'
    displayNamesExcludeFilter: [
      'string'
    ]
    displayNamesFilter: [
      'string'
    ]
    enabled: bool
    productFilter: 'string'
    severitiesFilter: [
      'string'
    ]
  }

Voor MLBehaviorAnalytics gebruikt u:

  kind: 'MLBehaviorAnalytics'
  properties: {
    alertRuleTemplateName: 'string'
    enabled: bool
  }

Gebruik voor NRT:

  kind: 'NRT'
  properties: {
    alertDetailsOverride: {
      alertDescriptionFormat: 'string'
      alertDisplayNameFormat: 'string'
      alertDynamicProperties: [
        {
          alertProperty: 'string'
          value: 'string'
        }
      ]
      alertSeverityColumnName: 'string'
      alertTacticsColumnName: 'string'
    }
    alertRuleTemplateName: 'string'
    customDetails: {}
    description: 'string'
    displayName: 'string'
    enabled: bool
    entityMappings: [
      {
        entityType: 'string'
        fieldMappings: [
          {
            columnName: 'string'
            identifier: 'string'
          }
        ]
      }
    ]
    eventGroupingSettings: {
      aggregationKind: 'string'
    }
    incidentConfiguration: {
      createIncident: bool
      groupingConfiguration: {
        enabled: bool
        groupByAlertDetails: [
          'string'
        ]
        groupByCustomDetails: [
          'string'
        ]
        groupByEntities: [
          'string'
        ]
        lookbackDuration: 'string'
        matchingMethod: 'string'
        reopenClosedIncident: bool
      }
    }
    query: 'string'
    sentinelEntitiesMappings: [
      {
        columnName: 'string'
      }
    ]
    severity: 'string'
    suppressionDuration: 'string'
    suppressionEnabled: bool
    tactics: [
      'string'
    ]
    techniques: [
      'string'
    ]
    templateVersion: 'string'
  }

Voor Gepland gebruikt u:

  kind: 'Scheduled'
  properties: {
    alertDetailsOverride: {
      alertDescriptionFormat: 'string'
      alertDisplayNameFormat: 'string'
      alertDynamicProperties: [
        {
          alertProperty: 'string'
          value: 'string'
        }
      ]
      alertSeverityColumnName: 'string'
      alertTacticsColumnName: 'string'
    }
    alertRuleTemplateName: 'string'
    customDetails: {}
    description: 'string'
    displayName: 'string'
    enabled: bool
    entityMappings: [
      {
        entityType: 'string'
        fieldMappings: [
          {
            columnName: 'string'
            identifier: 'string'
          }
        ]
      }
    ]
    eventGroupingSettings: {
      aggregationKind: 'string'
    }
    incidentConfiguration: {
      createIncident: bool
      groupingConfiguration: {
        enabled: bool
        groupByAlertDetails: [
          'string'
        ]
        groupByCustomDetails: [
          'string'
        ]
        groupByEntities: [
          'string'
        ]
        lookbackDuration: 'string'
        matchingMethod: 'string'
        reopenClosedIncident: bool
      }
    }
    query: 'string'
    queryFrequency: 'string'
    queryPeriod: 'string'
    sentinelEntitiesMappings: [
      {
        columnName: 'string'
      }
    ]
    severity: 'string'
    suppressionDuration: 'string'
    suppressionEnabled: bool
    tactics: [
      'string'
    ]
    techniques: [
      'string'
    ]
    templateVersion: 'string'
    triggerOperator: 'string'
    triggerThreshold: int
  }

Voor ThreatIntelligence gebruikt u:

  kind: 'ThreatIntelligence'
  properties: {
    alertRuleTemplateName: 'string'
    enabled: bool
  }

Eigenschapswaarden

alertRules

Naam Beschrijving Waarde
naam De resourcenaam tekenreeks (vereist)
Soort Het objecttype instellen Fusion
MicrosoftSecurityIncidentCreation
MLBehaviorAnalytics
NRT
Gepland
ThreatIntelligence (vereist)
scope Gebruik deze optie bij het maken van een extensieresource voor een ander bereik dan het implementatiebereik. Doelbron

Stel voor Bicep deze eigenschap in op de symbolische naam van de resource om de extensieresource toe te passen.
etag Etag van de Azure-resource tekenreeks

FusionAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'Fusion' (vereist)
properties Eigenschappen van fusion-waarschuwingsregel FusionAlertRuleProperties

FusionAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
scenarioExclusionPatterns Configuratie om scenario's in fusiedetectie uit te sluiten. FusionScenarioExclusionPattern[]
sourceSettings Configuratie voor alle ondersteunde bronsignalen in fusiedetectie. FusionSourceSettings[]

FusionScenarioExclusionPattern

Naam Beschrijving Waarde
dateAddedInUTC DateTime wanneer het uitsluitingspatroon voor scenario's wordt toegevoegd in UTC. tekenreeks (vereist)
exclusionPattern Scenario-uitsluitingspatroon. tekenreeks (vereist)

FusionSourceSettings

Naam Beschrijving Waarde
enabled Bepaalt of dit bronsignaal is ingeschakeld of uitgeschakeld in fusiondetectie. bool (vereist)
Sourcename Naam van het Fusion-bronsignaal. Raadpleeg de Sjabloon voor Fusion-waarschuwingsregel voor ondersteunde waarden. tekenreeks (vereist)
sourceSubTypes Configuratie voor alle bronsubtypen onder dit bronsignaal dat wordt gebruikt voor fusiedetectie. FusionSourceSubTypeSetting[]

FusionSourceSubTypeSetting

Naam Beschrijving Waarde
enabled Bepaalt of dit bronsubtype onder bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. bool (vereist)
severityFilters Ernstconfiguratie voor een bronsubtype dat wordt gebruikt bij fusiedetectie. FusionSubTypeSeverityFilter (vereist)
sourceSubTypeName De naam van het bronsubtype onder een bepaald bronsignaal in Fusion-detectie. Raadpleeg de Sjabloon voor Fusion-waarschuwingsregel voor ondersteunde waarden. tekenreeks (vereist)

FusionSubTypeSeverityFilter

Naam Beschrijving Waarde
filters Configuratie-instellingen voor afzonderlijke ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. FusionSubTypeSeverityFiltersItem[]

FusionSubTypeSeverityFiltersItem

Naam Beschrijving Waarde
enabled Bepaalt of deze ernst is in- of uitgeschakeld voor dit bronsubtype dat wordt gebruikt in Fusion-detectie. bool (vereist)
ernst De ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. 'Hoog'
'Informatie'
'Laag'
'Gemiddeld' (vereist)

MicrosoftSecurityIncidentCreationAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'MicrosoftSecurityIncidentCreation' (vereist)
properties Eigenschappen van MicrosoftSecurityIncidentCreation-regels MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
displayNamesExcludeFilter de displayNames van de waarschuwingen waarop de aanvragen niet worden gegenereerd tekenreeks[]
displayNamesFilter de displayNames van de waarschuwingen waarop de aanvragen worden gegenereerd tekenreeks[]
enabled Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. bool (vereist)
productFilter ProductName van de waarschuwingen waarop de aanvragen worden gegenereerd 'Azure Active Directory Identity Protection'
'Azure Advanced Threat Protection'
'Azure Security Center voor IoT'
'Azure Security Center'
'Microsoft Cloud App Security'
'Microsoft Defender Advanced Threat Protection'
'Office 365 Advanced Threat Protection' (vereist)
severitiesFilter de ernst van de waarschuwingen waarop de aanvragen worden gegenereerd Tekenreeksmatrix met een van de volgende:
'Hoog'
'Informatie'
'Laag'
'Gemiddeld'

MLBehaviorAnalyticsAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'MLBehaviorAnalytics' (vereist)
properties Eigenschappen van MLBehaviorAnalytics-waarschuwingsregel MLBehaviorAnalyticsAlertRuleProperties

MLBehaviorAnalyticsAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)

NrtAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'NRT' (vereist)
properties Eigenschappen van NRT-waarschuwingsregel NrtAlertRuleProperties

NrtAlertRuleProperties

Naam Beschrijving Waarde
alertDetailsOverride De instellingen voor het overschrijven van waarschuwingsdetails AlertDetailsOverride
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
customDetails Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld object
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
entityMappings Matrix van de entiteitstoewijzingen van de waarschuwingsregel EntityMapping[]
eventGroupingSettings De instellingen voor gebeurtenisgroepering. EventGroupingSettings
incidentConfiguration De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die zijn geactiveerd door deze analyseregel IncidentConfiguration
query De query waarmee waarschuwingen voor deze regel worden gemaakt. tekenreeks (vereist)
sentinelEntitiesMappings Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel SentinelEntityMapping[]
ernst De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. 'Hoog'
'Informatie'
'Laag'
'Gemiddeld' (vereist)
suppressionDuration De onderdrukking (in iso 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. tekenreeks (vereist)
suppressionEnabled Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
Tactiek De tactieken van de waarschuwingsregel Tekenreeksmatrix met een van de volgende waarden:
'Verzameling'
'CommandAndControl'
CredentialAccess
'DefenseEvasion'
'Detectie'
'Uitvoering'
'Exfiltratie'
'Impact'
'ImpairProcessControl'
'InhibitResponseFunction'
'InitialAccess'
'LateralMovement'
'Persistentie'
'PreAttack'
'PrivilegeEscalation'
'Reconnaissance'
'ResourceOntwikkeling'
Technieken De technieken van de waarschuwingsregel tekenreeks[]
templateVersion De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} tekenreeks

AlertDetailsOverride

Naam Beschrijving Waarde
alertDescriptionFormat de indeling met kolomnamen om de beschrijving van de waarschuwing te overschrijven tekenreeks
alertDisplayNameFormat de indeling met kolomnamen om de naam van de waarschuwing te overschrijven tekenreeks
alertDynamicProperties Lijst met aanvullende dynamische eigenschappen die moeten worden overschreven AlertPropertyMapping[]
alertSeverityColumnName de kolomnaam waaruit de ernst van de waarschuwing moet worden afgeleid tekenreeks
alertTacticsColumnName de kolomnaam waaruit u de waarschuwingstactieken wilt halen tekenreeks

AlertPropertyMapping

Naam Beschrijving Waarde
alertProperty De eigenschap V3-waarschuwing 'AlertLink'
'ConfidenceLevel'
'ConfidenceScore'
'ExtendedLinks'
'ProductComponentName'
'ProductName'
'ProviderName'
'RemediationSteps'
'Technieken'
waarde de kolomnaam die moet worden gebruikt om deze eigenschap te overschrijven tekenreeks

EntityMapping

Naam Beschrijving Waarde
entityType Het V3-type van de toegewezen entiteit 'Account'
'AzureResource'
'CloudApplication'
'DNS'
'Bestand'
'FileHash'
'Host'
'IP'
'MailCluster'
'MailMessage'
'Postvak'
'Malware'
'Proces'
'RegistryKey'
'RegistryValue'
'SecurityGroup'
'SubmissionMail'
'URL'
fieldMappings matrix met veldtoewijzingen voor de opgegeven entiteitstoewijzing FieldMapping[]

FieldMapping

Naam Beschrijving Waarde
columnName de kolomnaam die moet worden toegewezen aan de id tekenreeks
Id de V3-id van de entiteit tekenreeks

EventGroupingSettings

Naam Beschrijving Waarde
aggregationKind De aggregatietypen voor gebeurtenisgroepering 'AlertPerResult'
'SingleAlert'

IncidentConfiguration

Naam Beschrijving Waarde
createIncident Incidenten maken van waarschuwingen die worden geactiveerd door deze analyseregel bool (vereist)
groupingConfiguration Instellen hoe de waarschuwingen die door deze analyseregel worden geactiveerd, worden gegroepeerd in incidenten GroupingConfiguration

GroupingConfiguration

Naam Beschrijving Waarde
enabled Groeperen ingeschakeld bool (vereist)
groupByAlertDetails Een lijst met waarschuwingsdetails waarop u wilt groeperen (wanneer matchingMethod is geselecteerd) Tekenreeksmatrix met een van de volgende waarden:
'DisplayName'
Ernst
groupByCustomDetails Een lijst met aangepaste detailssleutels waarop u kunt groeperen (wanneer matchingMethod is geselecteerd). Alleen sleutels die zijn gedefinieerd in de huidige waarschuwingsregel mogen worden gebruikt. tekenreeks[]
groupByEntities Een lijst met entiteitstypen waarop u wilt groeperen (wanneer matchingMethod is geselecteerd). Alleen entiteiten die zijn gedefinieerd in de huidige waarschuwingsregel kunnen worden gebruikt. Tekenreeksmatrix met een van de volgende waarden:
'Account'
'AzureResource'
'CloudApplication'
'DNS'
'Bestand'
'FileHash'
'Host'
'IP'
'MailCluster'
'MailMessage'
'Postvak'
'Malware'
'Proces'
'RegistryKey'
'RegistryValue'
'SecurityGroup'
'SubmissionMail'
'URL'
lookbackDuration De groep beperken tot waarschuwingen die zijn gemaakt binnen de duur van de lookback (in ISO 8601-duurnotatie) tekenreeks (vereist)
matchingMethod Groeperingsmethode voor overeenkomende gegevens. Wanneer de methode Selected is ten minste één van groupByEntities, groupByAlertDetails, moet groupByCustomDetails worden opgegeven en niet leeg zijn. 'Alle entiteiten'
'AnyAlert'
'Geselecteerd' (vereist)
reopenClosedIncident Gesloten overeenkomende incidenten opnieuw openen bool (vereist)

SentinelEntityMapping

Naam Beschrijving Waarde
columnName de kolomnaam die moet worden toegewezen aan de Sentinel-entiteiten tekenreeks

ScheduledAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel Gepland (vereist)
properties Eigenschappen van geplande waarschuwingsregel ScheduledAlertRuleProperties

ScheduledAlertRuleProperties

Naam Beschrijving Waarde
alertDetailsOverride De instellingen voor het overschrijven van waarschuwingsdetails AlertDetailsOverride
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
customDetails Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld object
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
entityMappings Matrix van de entiteitstoewijzingen van de waarschuwingsregel EntityMapping[]
eventGroupingSettings De instellingen voor gebeurtenisgroepering. EventGroupingSettings
incidentConfiguration De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die zijn geactiveerd door deze analyseregel IncidentConfiguration
query De query waarmee waarschuwingen voor deze regel worden gemaakt. tekenreeks
queryFrequency De frequentie (in ISO 8601-duurnotatie) voor het uitvoeren van deze waarschuwingsregel. tekenreeks
queryPeriod De periode (in ISO 8601-duurnotatie) waarnaar deze waarschuwingsregel kijkt. tekenreeks
sentinelEntitiesMappings Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel SentinelEntityMapping[]
ernst De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. 'Hoog'
'Informatie'
'Laag'
'Gemiddeld'
suppressionDuration De onderdrukking (in iso 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. tekenreeks (vereist)
suppressionEnabled Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
Tactiek De tactieken van de waarschuwingsregel Tekenreeksmatrix met een van de volgende waarden:
'Verzameling'
'CommandAndControl'
CredentialAccess
'DefenseEvasion'
'Detectie'
'Uitvoering'
'Exfiltratie'
'Impact'
'ImpairProcessControl'
'InhibitResponseFunction'
'InitialAccess'
'LateralMovement'
'Persistentie'
'PreAttack'
'PrivilegeEscalation'
'Reconnaissance'
'ResourceOntwikkeling'
Technieken De technieken van de waarschuwingsregel tekenreeks[]
templateVersion De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} tekenreeks
triggerOperator De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. 'Gelijk'
'GreaterThan'
'LessThan'
'NotEqual'
triggerThreshold De drempelwaarde activeert deze waarschuwingsregel. int

ThreatIntelligenceAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel ThreatIntelligence (vereist)
properties Eigenschappen van waarschuwingsregel voor bedreigingsinformatie ThreatIntelligenceAlertRuleProperties

ThreatIntelligenceAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)

Snelstartsjablonen

Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.

Template Beschrijving
Hiermee maakt u een nieuwe regel voor geplande analyse van Microsoft Sentinel

Implementeren op Azure
In dit voorbeeld ziet u hoe u een nieuwe regel voor geplande analyse maakt in Microsoft Sentinel

Resourcedefinitie van ARM-sjabloon

Het resourcetype alertRules is een extensieresource, wat betekent dat u deze kunt toepassen op een andere resource.

Gebruik de scope eigenschap voor deze resource om het bereik voor deze resource in te stellen. Zie Bereik instellen voor extensieresources in ARM-sjablonen.

Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.

Resource-indeling

Als u een resource Microsoft.SecurityInsights/alertRules wilt maken, voegt u de volgende JSON toe aan uw sjabloon.

{
  "type": "Microsoft.SecurityInsights/alertRules",
  "apiVersion": "2023-02-01-preview",
  "name": "string",
  "kind": "string",
  "scope": "string",
  "etag": "string",
  // For remaining properties, see alertRules objects
}

alertRules-objecten

Stel de eigenschap Soort in om het type object op te geven.

Gebruik voor Fusion:

  "kind": "Fusion",
  "properties": {
    "alertRuleTemplateName": "string",
    "enabled": "bool",
    "scenarioExclusionPatterns": [
      {
        "dateAddedInUTC": "string",
        "exclusionPattern": "string"
      }
    ],
    "sourceSettings": [
      {
        "enabled": "bool",
        "sourceName": "string",
        "sourceSubTypes": [
          {
            "enabled": "bool",
            "severityFilters": {
              "filters": [
                {
                  "enabled": "bool",
                  "severity": "string"
                }
              ]
            },
            "sourceSubTypeName": "string"
          }
        ]
      }
    ]
  }

Gebruik voor MicrosoftSecurityIncidentCreation:

  "kind": "MicrosoftSecurityIncidentCreation",
  "properties": {
    "alertRuleTemplateName": "string",
    "description": "string",
    "displayName": "string",
    "displayNamesExcludeFilter": [ "string" ],
    "displayNamesFilter": [ "string" ],
    "enabled": "bool",
    "productFilter": "string",
    "severitiesFilter": [ "string" ]
  }

Voor MLBehaviorAnalytics gebruikt u:

  "kind": "MLBehaviorAnalytics",
  "properties": {
    "alertRuleTemplateName": "string",
    "enabled": "bool"
  }

Gebruik voor NRT:

  "kind": "NRT",
  "properties": {
    "alertDetailsOverride": {
      "alertDescriptionFormat": "string",
      "alertDisplayNameFormat": "string",
      "alertDynamicProperties": [
        {
          "alertProperty": "string",
          "value": "string"
        }
      ],
      "alertSeverityColumnName": "string",
      "alertTacticsColumnName": "string"
    },
    "alertRuleTemplateName": "string",
    "customDetails": {},
    "description": "string",
    "displayName": "string",
    "enabled": "bool",
    "entityMappings": [
      {
        "entityType": "string",
        "fieldMappings": [
          {
            "columnName": "string",
            "identifier": "string"
          }
        ]
      }
    ],
    "eventGroupingSettings": {
      "aggregationKind": "string"
    },
    "incidentConfiguration": {
      "createIncident": "bool",
      "groupingConfiguration": {
        "enabled": "bool",
        "groupByAlertDetails": [ "string" ],
        "groupByCustomDetails": [ "string" ],
        "groupByEntities": [ "string" ],
        "lookbackDuration": "string",
        "matchingMethod": "string",
        "reopenClosedIncident": "bool"
      }
    },
    "query": "string",
    "sentinelEntitiesMappings": [
      {
        "columnName": "string"
      }
    ],
    "severity": "string",
    "suppressionDuration": "string",
    "suppressionEnabled": "bool",
    "tactics": [ "string" ],
    "techniques": [ "string" ],
    "templateVersion": "string"
  }

Voor Gepland gebruikt u:

  "kind": "Scheduled",
  "properties": {
    "alertDetailsOverride": {
      "alertDescriptionFormat": "string",
      "alertDisplayNameFormat": "string",
      "alertDynamicProperties": [
        {
          "alertProperty": "string",
          "value": "string"
        }
      ],
      "alertSeverityColumnName": "string",
      "alertTacticsColumnName": "string"
    },
    "alertRuleTemplateName": "string",
    "customDetails": {},
    "description": "string",
    "displayName": "string",
    "enabled": "bool",
    "entityMappings": [
      {
        "entityType": "string",
        "fieldMappings": [
          {
            "columnName": "string",
            "identifier": "string"
          }
        ]
      }
    ],
    "eventGroupingSettings": {
      "aggregationKind": "string"
    },
    "incidentConfiguration": {
      "createIncident": "bool",
      "groupingConfiguration": {
        "enabled": "bool",
        "groupByAlertDetails": [ "string" ],
        "groupByCustomDetails": [ "string" ],
        "groupByEntities": [ "string" ],
        "lookbackDuration": "string",
        "matchingMethod": "string",
        "reopenClosedIncident": "bool"
      }
    },
    "query": "string",
    "queryFrequency": "string",
    "queryPeriod": "string",
    "sentinelEntitiesMappings": [
      {
        "columnName": "string"
      }
    ],
    "severity": "string",
    "suppressionDuration": "string",
    "suppressionEnabled": "bool",
    "tactics": [ "string" ],
    "techniques": [ "string" ],
    "templateVersion": "string",
    "triggerOperator": "string",
    "triggerThreshold": "int"
  }

Voor ThreatIntelligence gebruikt u:

  "kind": "ThreatIntelligence",
  "properties": {
    "alertRuleTemplateName": "string",
    "enabled": "bool"
  }

Eigenschapswaarden

alertRules

Naam Beschrijving Waarde
type Het resourcetype 'Microsoft.SecurityInsights/alertRules'
apiVersion De resource-API-versie '2023-02-01-preview'
naam De resourcenaam tekenreeks (vereist)
Soort Het objecttype instellen Fusion
MicrosoftSecurityIncidentCreation
MLBehaviorAnalytics
NRT
Gepland
ThreatIntelligence (vereist)
scope Gebruik deze optie bij het maken van een extensieresource voor een ander bereik dan het implementatiebereik. Doelbron

Stel voor JSON de waarde in op de volledige naam van de resource om de extensieresource op toe te passen.
etag Etag van de Azure-resource tekenreeks

FusionAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'Fusion' (vereist)
properties Eigenschappen van fusion-waarschuwingsregel FusionAlertRuleProperties

FusionAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
scenarioExclusionPatterns Configuratie om scenario's in fusiedetectie uit te sluiten. FusionScenarioExclusionPattern[]
sourceSettings Configuratie voor alle ondersteunde bronsignalen in fusiedetectie. FusionSourceSettings[]

FusionScenarioExclusionPattern

Naam Beschrijving Waarde
dateAddedInUTC DateTime wanneer het uitsluitingspatroon voor scenario's wordt toegevoegd in UTC. tekenreeks (vereist)
exclusionPattern Scenario-uitsluitingspatroon. tekenreeks (vereist)

FusionSourceSettings

Naam Beschrijving Waarde
enabled Bepaalt of dit bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. bool (vereist)
Sourcename Naam van het Fusion-bronsignaal. Raadpleeg de sjabloon Fusion-waarschuwingsregel voor ondersteunde waarden. tekenreeks (vereist)
sourceSubTypes Configuratie voor alle bronsubtypen onder dit bronsignaal dat wordt gebruikt bij fusiedetectie. FusionSourceSubTypeSetting[]

FusionSourceSubTypeSetting

Naam Beschrijving Waarde
enabled Bepaalt of dit bronsubtype onder bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. bool (vereist)
severityFilters Ernstconfiguratie voor een bronsubtype dat wordt gebruikt bij fusiedetectie. FusionSubTypeSeverityFilter (vereist)
sourceSubTypeName De naam van het bronsubtype onder een bepaald bronsignaal in Fusion-detectie. Raadpleeg de sjabloon Fusion-waarschuwingsregel voor ondersteunde waarden. tekenreeks (vereist)

FusionSubTypeSeverityFilter

Naam Beschrijving Waarde
filters Configuratie-instellingen voor afzonderlijke ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. FusionSubTypeSeverityFiltersItem[]

FusionSubTypeSeverityFiltersItem

Naam Beschrijving Waarde
enabled Bepaalt of deze ernst is ingeschakeld of uitgeschakeld voor dit bronsubtype dat wordt gebruikt in Fusion-detectie. bool (vereist)
ernst De ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. 'Hoog'
'Informatie'
'Laag'
'Gemiddeld' (vereist)

MicrosoftSecurityIncidentCreationAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'MicrosoftSecurityIncidentCreation' (vereist)
properties MicrosoftSecurityIncidentCreation-regeleigenschappen MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
displayNamesExcludeFilter de displayNames van de waarschuwingen waarop de cases niet worden gegenereerd tekenreeks[]
displayNamesFilter de displayNames van de waarschuwingen waarop de cases worden gegenereerd tekenreeks[]
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
productFilter De productName van de waarschuwingen waarop de cases worden gegenereerd 'Azure Active Directory Identity Protection'
'Azure Advanced Threat Protection'
'Azure Security Center voor IoT'
'Azure Security Center'
'Microsoft Cloud App Security'
'Microsoft Defender Advanced Threat Protection'
'Office 365 Advanced Threat Protection' (vereist)
ernstfilter de ernst van de waarschuwingen waarop de cases worden gegenereerd Tekenreeksmatrix met een van de volgende waarden:
'Hoog'
'Informatie'
'Laag'
'Gemiddeld'

MLBehaviorAnalyticsAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'MLBehaviorAnalytics' (vereist)
properties Eigenschappen van MLBehaviorAnalytics-waarschuwingsregel MLBehaviorAnalyticsAlertRuleProperties

MLBehaviorAnalyticsAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)

NrtAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'NRT' (vereist)
properties Eigenschappen van NRT-waarschuwingsregel NrtAlertRuleProperties

NrtAlertRuleProperties

Naam Beschrijving Waarde
alertDetailsOverride De instellingen voor het overschrijven van waarschuwingsdetails AlertDetailsOverride
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
customDetails Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld object
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. bool (vereist)
entityMappings Matrix van de entiteitstoewijzingen van de waarschuwingsregel EntityMapping[]
eventGroupingSettings De instellingen voor het groeperen van gebeurtenissen. EventGroupingSettings
incidentConfiguration De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die worden geactiveerd door deze analyseregel IncidentConfiguration
query De query waarmee waarschuwingen voor deze regel worden gemaakt. tekenreeks (vereist)
sentinelEntitiesMappings Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel SentinelEntityMapping[]
ernst De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. 'Hoog'
'Informatie'
'Laag'
'Gemiddeld' (vereist)
suppressDuration De onderdrukking (in ISO 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. tekenreeks (vereist)
suppressEnabled Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
Tactiek De tactieken van de waarschuwingsregel Tekenreeksmatrix met een van de volgende:
'Verzameling'
'CommandAndControl'
'CredentialAccess'
'DefenseEvasion'
'Detectie'
'Uitvoering'
'Exfiltratie'
'Impact'
'ImpairProcessControl'
'InhibitResponseFunction'
'InitialAccess'
'LateralMovement'
'Persistentie'
'PreAttack'
'PrivilegeEscalation'
'Reconnaissance'
'ResourceOntwikkeling'
Technieken De technieken van de waarschuwingsregel tekenreeks[]
templateVersion De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} tekenreeks

AlertDetailsOverride

Naam Beschrijving Waarde
alertDescriptionFormat de indeling met kolomnamen om de beschrijving van de waarschuwing te overschrijven tekenreeks
alertDisplayNameFormat de indeling met kolomnamen om de naam van de waarschuwing te overschrijven tekenreeks
alertDynamicProperties Lijst met aanvullende dynamische eigenschappen die moeten worden overschreven AlertPropertyMapping[]
alertSeverityColumnName de kolomnaam waaruit de ernst van de waarschuwing moet worden afgeleid tekenreeks
alertTacticsColumnName de kolomnaam waaruit u de waarschuwingstactieken wilt halen tekenreeks

AlertPropertyMapping

Naam Beschrijving Waarde
alertProperty De eigenschap V3-waarschuwing 'AlertLink'
'ConfidenceLevel'
'ConfidenceScore'
'ExtendedLinks'
'ProductComponentName'
'ProductName'
'ProviderName'
'RemediationSteps'
'Technieken'
waarde de kolomnaam die moet worden gebruikt om deze eigenschap te overschrijven tekenreeks

EntityMapping

Naam Beschrijving Waarde
entityType Het V3-type van de toegewezen entiteit 'Account'
'AzureResource'
'CloudApplication'
'DNS'
'Bestand'
'FileHash'
'Host'
'IP'
'MailCluster'
'MailMessage'
'Postvak'
'Malware'
'Proces'
'RegistryKey'
'RegistryValue'
'SecurityGroup'
'SubmissionMail'
'URL'
fieldMappings matrix van veldtoewijzingen voor de opgegeven entiteitstoewijzing FieldMapping[]

FieldMapping

Naam Beschrijving Waarde
columnName de kolomnaam die moet worden toegewezen aan de id tekenreeks
Id de V3-id van de entiteit tekenreeks

EventGroupingSettings

Naam Beschrijving Waarde
aggregationKind De aggregatietypen voor gebeurtenisgroepering 'AlertPerResult'
'SingleAlert'

IncidentConfiguration

Naam Beschrijving Waarde
createIncident Incidenten maken van waarschuwingen die worden geactiveerd door deze analyseregel bool (vereist)
groupingConfiguration Instellen hoe de waarschuwingen die door deze analyseregel worden geactiveerd, worden gegroepeerd in incidenten GroupingConfiguration

GroupingConfiguration

Naam Beschrijving Waarde
enabled Groeperen ingeschakeld bool (vereist)
groupByAlertDetails Een lijst met waarschuwingsdetails waarop u kunt groeperen (wanneer matchingMethod is geselecteerd) Tekenreeksmatrix met een van de volgende waarden:
'DisplayName'
Ernst
groupByCustomDetails Een lijst met aangepaste detailssleutels waarop u kunt groeperen (wanneer matchingMethod is geselecteerd). Alleen sleutels die zijn gedefinieerd in de huidige waarschuwingsregel mogen worden gebruikt. tekenreeks[]
groupByEntities Een lijst met entiteitstypen waarop u wilt groeperen (wanneer matchingMethod is geselecteerd). Alleen entiteiten die zijn gedefinieerd in de huidige waarschuwingsregel kunnen worden gebruikt. Tekenreeksmatrix met een van de volgende waarden:
'Account'
'AzureResource'
'CloudApplication'
'DNS'
'Bestand'
'FileHash'
'Host'
'IP'
'MailCluster'
'MailMessage'
'Postvak'
'Malware'
'Proces'
'RegistryKey'
'RegistryValue'
'SecurityGroup'
'SubmissionMail'
'URL'
lookbackDuration De groep beperken tot waarschuwingen die zijn gemaakt binnen de duur van de lookback (in ISO 8601-duurnotatie) tekenreeks (vereist)
matchingMethod Groeperingsmethode voor overeenkomende gegevens. Wanneer de methode Selected is ten minste één van groupByEntities, groupByAlertDetails, moet groupByCustomDetails worden opgegeven en niet leeg zijn. 'Alle entiteiten'
'AnyAlert'
'Geselecteerd' (vereist)
reopenClosedIncident Gesloten overeenkomende incidenten opnieuw openen bool (vereist)

SentinelEntityMapping

Naam Beschrijving Waarde
columnName de kolomnaam die moet worden toegewezen aan de Sentinel-entiteiten tekenreeks

ScheduledAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel Gepland (vereist)
properties Eigenschappen van geplande waarschuwingsregel ScheduledAlertRuleProperties

ScheduledAlertRuleProperties

Naam Beschrijving Waarde
alertDetailsOverride De instellingen voor het overschrijven van waarschuwingsdetails AlertDetailsOverride
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
customDetails Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld object
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
entityMappings Matrix van de entiteitstoewijzingen van de waarschuwingsregel EntityMapping[]
eventGroupingSettings De instellingen voor gebeurtenisgroepering. EventGroupingSettings
incidentConfiguration De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die zijn geactiveerd door deze analyseregel IncidentConfiguration
query De query waarmee waarschuwingen voor deze regel worden gemaakt. tekenreeks
queryFrequency De frequentie (in ISO 8601-duurnotatie) voor het uitvoeren van deze waarschuwingsregel. tekenreeks
queryPeriod De periode (in ISO 8601-duurnotatie) waarnaar deze waarschuwingsregel kijkt. tekenreeks
sentinelEntitiesMappings Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel SentinelEntityMapping[]
ernst De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. 'Hoog'
'Informatie'
'Laag'
'Gemiddeld'
suppressionDuration De onderdrukking (in iso 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. tekenreeks (vereist)
suppressionEnabled Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
Tactiek De tactieken van de waarschuwingsregel Tekenreeksmatrix met een van de volgende waarden:
'Verzameling'
'CommandAndControl'
CredentialAccess
'DefenseEvasion'
'Detectie'
'Uitvoering'
'Exfiltratie'
'Impact'
'ImpairProcessControl'
'InhibitResponseFunction'
'InitialAccess'
'LateralMovement'
'Persistentie'
'PreAttack'
'PrivilegeEscalation'
'Reconnaissance'
'ResourceOntwikkeling'
Technieken De technieken van de waarschuwingsregel tekenreeks[]
templateVersion De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} tekenreeks
triggerOperator De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. 'Gelijk'
'GreaterThan'
'LessThan'
'NotEqual'
triggerThreshold De drempelwaarde activeert deze waarschuwingsregel. int

ThreatIntelligenceAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel ThreatIntelligence (vereist)
properties Eigenschappen van waarschuwingsregel voor bedreigingsinformatie ThreatIntelligenceAlertRuleProperties

ThreatIntelligenceAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)

Snelstartsjablonen

Met de volgende quickstart-sjablonen wordt dit resourcetype geïmplementeerd.

Template Beschrijving
Hiermee maakt u een nieuwe regel voor geplande analyse van Microsoft Sentinel

Implementeren op Azure
In dit voorbeeld ziet u hoe u een nieuwe regel voor geplande analyse maakt in Microsoft Sentinel

Resourcedefinitie van Terraform (AzAPI-provider)

Het resourcetype alertRules is een extensieresource, wat betekent dat u deze kunt toepassen op een andere resource.

Gebruik de parent_id eigenschap voor deze resource om het bereik voor deze resource in te stellen.

Zie wijzigingenlogboek voor een lijst met gewijzigde eigenschappen in elke API-versie.

Resource-indeling

Als u een Resource Microsoft.SecurityInsights/alertRules wilt maken, voegt u de volgende Terraform toe aan uw sjabloon.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/alertRules@2023-02-01-preview"
  name = "string"
  parent_id = "string"
  // For remaining properties, see alertRules objects
  body = jsonencode({
    kind = "string"
    etag = "string"
  })
}

alertRules-objecten

Stel de eigenschap Soort in om het type object op te geven.

Gebruik voor Fusion:

  kind = "Fusion"
  properties = {
    alertRuleTemplateName = "string"
    enabled = bool
    scenarioExclusionPatterns = [
      {
        dateAddedInUTC = "string"
        exclusionPattern = "string"
      }
    ]
    sourceSettings = [
      {
        enabled = bool
        sourceName = "string"
        sourceSubTypes = [
          {
            enabled = bool
            severityFilters = {
              filters = [
                {
                  enabled = bool
                  severity = "string"
                }
              ]
            }
            sourceSubTypeName = "string"
          }
        ]
      }
    ]
  }

Gebruik voor MicrosoftSecurityIncidentCreation:

  kind = "MicrosoftSecurityIncidentCreation"
  properties = {
    alertRuleTemplateName = "string"
    description = "string"
    displayName = "string"
    displayNamesExcludeFilter = [
      "string"
    ]
    displayNamesFilter = [
      "string"
    ]
    enabled = bool
    productFilter = "string"
    severitiesFilter = [
      "string"
    ]
  }

Voor MLBehaviorAnalytics gebruikt u:

  kind = "MLBehaviorAnalytics"
  properties = {
    alertRuleTemplateName = "string"
    enabled = bool
  }

Gebruik voor NRT:

  kind = "NRT"
  properties = {
    alertDetailsOverride = {
      alertDescriptionFormat = "string"
      alertDisplayNameFormat = "string"
      alertDynamicProperties = [
        {
          alertProperty = "string"
          value = "string"
        }
      ]
      alertSeverityColumnName = "string"
      alertTacticsColumnName = "string"
    }
    alertRuleTemplateName = "string"
    customDetails = {}
    description = "string"
    displayName = "string"
    enabled = bool
    entityMappings = [
      {
        entityType = "string"
        fieldMappings = [
          {
            columnName = "string"
            identifier = "string"
          }
        ]
      }
    ]
    eventGroupingSettings = {
      aggregationKind = "string"
    }
    incidentConfiguration = {
      createIncident = bool
      groupingConfiguration = {
        enabled = bool
        groupByAlertDetails = [
          "string"
        ]
        groupByCustomDetails = [
          "string"
        ]
        groupByEntities = [
          "string"
        ]
        lookbackDuration = "string"
        matchingMethod = "string"
        reopenClosedIncident = bool
      }
    }
    query = "string"
    sentinelEntitiesMappings = [
      {
        columnName = "string"
      }
    ]
    severity = "string"
    suppressionDuration = "string"
    suppressionEnabled = bool
    tactics = [
      "string"
    ]
    techniques = [
      "string"
    ]
    templateVersion = "string"
  }

Voor Gepland gebruikt u:

  kind = "Scheduled"
  properties = {
    alertDetailsOverride = {
      alertDescriptionFormat = "string"
      alertDisplayNameFormat = "string"
      alertDynamicProperties = [
        {
          alertProperty = "string"
          value = "string"
        }
      ]
      alertSeverityColumnName = "string"
      alertTacticsColumnName = "string"
    }
    alertRuleTemplateName = "string"
    customDetails = {}
    description = "string"
    displayName = "string"
    enabled = bool
    entityMappings = [
      {
        entityType = "string"
        fieldMappings = [
          {
            columnName = "string"
            identifier = "string"
          }
        ]
      }
    ]
    eventGroupingSettings = {
      aggregationKind = "string"
    }
    incidentConfiguration = {
      createIncident = bool
      groupingConfiguration = {
        enabled = bool
        groupByAlertDetails = [
          "string"
        ]
        groupByCustomDetails = [
          "string"
        ]
        groupByEntities = [
          "string"
        ]
        lookbackDuration = "string"
        matchingMethod = "string"
        reopenClosedIncident = bool
      }
    }
    query = "string"
    queryFrequency = "string"
    queryPeriod = "string"
    sentinelEntitiesMappings = [
      {
        columnName = "string"
      }
    ]
    severity = "string"
    suppressionDuration = "string"
    suppressionEnabled = bool
    tactics = [
      "string"
    ]
    techniques = [
      "string"
    ]
    templateVersion = "string"
    triggerOperator = "string"
    triggerThreshold = int
  }

Voor ThreatIntelligence gebruikt u:

  kind = "ThreatIntelligence"
  properties = {
    alertRuleTemplateName = "string"
    enabled = bool
  }

Eigenschapswaarden

alertRules

Naam Beschrijving Waarde
type Het resourcetype "Microsoft.SecurityInsights/alertRules@2023-02-01-preview"
naam De resourcenaam tekenreeks (vereist)
parent_id De id van de resource om deze extensieresource op toe te passen. tekenreeks (vereist)
Soort Het objecttype instellen Fusion
MicrosoftSecurityIncidentCreation
MLBehaviorAnalytics
NRT
Gepland
ThreatIntelligence (vereist)
etag Etag van de Azure-resource tekenreeks

FusionAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel "Fusion" (vereist)
properties Eigenschappen van fusion-waarschuwingsregel FusionAlertRuleProperties

FusionAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
scenarioExclusionPatterns Configuratie om scenario's in fusiedetectie uit te sluiten. FusionScenarioExclusionPattern[]
sourceSettings Configuratie voor alle ondersteunde bronsignalen in fusiedetectie. FusionSourceSettings[]

FusionScenarioExclusionPattern

Naam Beschrijving Waarde
dateAddedInUTC DateTime wanneer het uitsluitingspatroon voor scenario's wordt toegevoegd in UTC. tekenreeks (vereist)
exclusionPattern Scenario-uitsluitingspatroon. tekenreeks (vereist)

FusionSourceSettings

Naam Beschrijving Waarde
enabled Bepaalt of dit bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. bool (vereist)
Sourcename Naam van het Fusion-bronsignaal. Raadpleeg de sjabloon Fusion-waarschuwingsregel voor ondersteunde waarden. tekenreeks (vereist)
sourceSubTypes Configuratie voor alle bronsubtypen onder dit bronsignaal dat wordt gebruikt bij fusiedetectie. FusionSourceSubTypeSetting[]

FusionSourceSubTypeSetting

Naam Beschrijving Waarde
enabled Bepaalt of dit bronsubtype onder bronsignaal is ingeschakeld of uitgeschakeld in Fusion-detectie. bool (vereist)
severityFilters Ernstconfiguratie voor een bronsubtype dat wordt gebruikt bij fusiedetectie. FusionSubTypeSeverityFilter (vereist)
sourceSubTypeName De naam van het bronsubtype onder een bepaald bronsignaal in Fusion-detectie. Raadpleeg de sjabloon Fusion-waarschuwingsregel voor ondersteunde waarden. tekenreeks (vereist)

FusionSubTypeSeverityFilter

Naam Beschrijving Waarde
filters Configuratie-instellingen voor afzonderlijke ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. FusionSubTypeSeverityFiltersItem[]

FusionSubTypeSeverityFiltersItem

Naam Beschrijving Waarde
enabled Bepaalt of deze ernst is ingeschakeld of uitgeschakeld voor dit bronsubtype dat wordt gebruikt in Fusion-detectie. bool (vereist)
ernst De ernst voor een bepaald bronsubtype dat wordt gebruikt in Fusion-detectie. "Hoog"
"Informatie"
"Laag"
'Gemiddeld' (vereist)

MicrosoftSecurityIncidentCreationAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel 'MicrosoftSecurityIncidentCreation' (vereist)
properties MicrosoftSecurityIncidentCreation-regeleigenschappen MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
displayNamesExcludeFilter de displayNames van de waarschuwingen waarop de cases niet worden gegenereerd tekenreeks[]
displayNamesFilter de displayNames van de waarschuwingen waarop de cases worden gegenereerd tekenreeks[]
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
productFilter De productName van de waarschuwingen waarop de cases worden gegenereerd "Azure Active Directory Identity Protection"
"Azure Advanced Threat Protection"
"Azure Security Center voor IoT"
"Azure Security Center"
"Microsoft Cloud App Security"
"Microsoft Defender Advanced Threat Protection"
'Office 365 Advanced Threat Protection' (vereist)
ernstfilter de ernst van de waarschuwingen waarop de cases worden gegenereerd Tekenreeksmatrix met een van de volgende waarden:
"Hoog"
"Informatie"
"Laag"
"Gemiddeld"

MLBehaviorAnalyticsAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel "MLBehaviorAnalytics" (vereist)
properties Eigenschappen van waarschuwingsregel MLBehaviorAnalytics MLBehaviorAnalyticsAlertRuleProperties

MLBehaviorAnalyticsAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. bool (vereist)

NrtAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel "NRT" (vereist)
properties Eigenschappen van NRT-waarschuwingsregel NrtAlertRuleProperties

NrtAlertRuleProperties

Naam Beschrijving Waarde
alertDetailsOverride De instellingen voor waarschuwingsdetails overschrijven AlertDetailsOverride
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
customDetails Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld object
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. bool (vereist)
entityMappings Matrix van de entiteitstoewijzingen van de waarschuwingsregel EntityMapping[]
eventGroupingSettings De instellingen voor het groeperen van gebeurtenissen. EventGroupingSettings
incidentConfiguration De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die worden geactiveerd door deze analyseregel IncidentConfiguration
query De query waarmee waarschuwingen voor deze regel worden gemaakt. tekenreeks (vereist)
sentinelEntitiesMappings Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel SentinelEntityMapping[]
ernst De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. "Hoog"
"Informatie"
"Laag"
'Gemiddeld' (vereist)
suppressDuration De onderdrukking (in ISO 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. tekenreeks (vereist)
suppressEnabled Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
Tactiek De tactieken van de waarschuwingsregel Tekenreeksmatrix met een van de volgende:
"Verzameling"
"CommandAndControl"
"CredentialAccess"
"DefenseEvasion"
"Detectie"
"Uitvoering"
"Exfiltratie"
"Impact"
"ImpairProcessControl"
"InhibitResponseFunction"
"InitialAccess"
"LateralMovement"
"Persistentie"
"PreAttack"
"PrivilegeEscalation"
"Reconnaissance"
"ResourceOntwikkeling"
Technieken De technieken van de waarschuwingsregel tekenreeks[]
templateVersion De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} tekenreeks

AlertDetailsOverride

Naam Beschrijving Waarde
alertDescriptionFormat de indeling met kolomnamen om de beschrijving van de waarschuwing te overschrijven tekenreeks
alertDisplayNameFormat de indeling met kolomnamen om de waarschuwingsnaam te overschrijven tekenreeks
alertDynamicProperties Lijst met aanvullende dynamische eigenschappen die moeten worden overschreven AlertPropertyMapping[]
alertSeverityColumnName de kolomnaam waaruit de ernst van de waarschuwing moet worden opgehaald tekenreeks
alertTacticsColumnName de kolomnaam waaruit de waarschuwingstactieken moeten worden overgenomen tekenreeks

AlertPropertyMapping

Naam Beschrijving Waarde
alertProperty De eigenschap V3-waarschuwing "AlertLink"
"ConfidenceLevel"
"ConfidenceScore"
"ExtendedLinks"
"ProductComponentName"
"ProductName"
"ProviderName"
"RemediationSteps"
"Technieken"
waarde de kolomnaam die moet worden gebruikt om deze eigenschap te overschrijven tekenreeks

EntityMapping

Naam Beschrijving Waarde
entityType Het V3-type van de toegewezen entiteit "Account"
"AzureResource"
"CloudApplication"
"DNS"
"Bestand"
"FileHash"
"Host"
"IP"
"MailCluster"
"MailMessage"
"Postvak"
"Malware"
"Verwerken"
"RegistryKey"
"RegistryValue"
'SecurityGroup'
"SubmissionMail"
"URL"
fieldMappings matrix van veldtoewijzingen voor de opgegeven entiteitstoewijzing FieldMapping[]

FieldMapping

Naam Beschrijving Waarde
columnName de kolomnaam die moet worden toegewezen aan de id tekenreeks
Id de V3-id van de entiteit tekenreeks

EventGroupingSettings

Naam Beschrijving Waarde
aggregationKind De aggregatietypen voor gebeurtenisgroepering "AlertPerResult"
"SingleAlert"

IncidentConfiguration

Naam Beschrijving Waarde
createIncident Incidenten maken van waarschuwingen die worden geactiveerd door deze analyseregel bool (vereist)
groupingConfiguration Instellen hoe de waarschuwingen die door deze analyseregel worden geactiveerd, worden gegroepeerd in incidenten GroupingConfiguration

GroupingConfiguration

Naam Beschrijving Waarde
enabled Groeperen ingeschakeld bool (vereist)
groupByAlertDetails Een lijst met waarschuwingsdetails waarop u kunt groeperen (wanneer matchingMethod is geselecteerd) Tekenreeksmatrix met een van de volgende waarden:
"DisplayName"
"Ernst"
groupByCustomDetails Een lijst met aangepaste detailssleutels waarop u kunt groeperen (wanneer matchingMethod is geselecteerd). Alleen sleutels die zijn gedefinieerd in de huidige waarschuwingsregel mogen worden gebruikt. tekenreeks[]
groupByEntities Een lijst met entiteitstypen waarop u wilt groeperen (wanneer matchingMethod is geselecteerd). Alleen entiteiten die zijn gedefinieerd in de huidige waarschuwingsregel kunnen worden gebruikt. Tekenreeksmatrix met een van de volgende waarden:
"Account"
"AzureResource"
"CloudApplication"
"DNS"
"Bestand"
"FileHash"
"Host"
"IP"
"MailCluster"
"MailMessage"
"Postvak"
"Malware"
"Verwerken"
"RegistryKey"
"RegistryValue"
'SecurityGroup'
"SubmissionMail"
"URL"
lookbackDuration De groep beperken tot waarschuwingen die zijn gemaakt binnen de duur van de lookback (in ISO 8601-duurnotatie) tekenreeks (vereist)
matchingMethod Groeperingsmethode voor overeenkomende gegevens. Wanneer de methode Selected is ten minste één van groupByEntities, groupByAlertDetails, moet groupByCustomDetails worden opgegeven en niet leeg zijn. "Alle entiteiten"
"AnyAlert"
'Geselecteerd' (vereist)
reopenClosedIncident Gesloten overeenkomende incidenten opnieuw openen bool (vereist)

SentinelEntityMapping

Naam Beschrijving Waarde
columnName de kolomnaam die moet worden toegewezen aan de Sentinel-entiteiten tekenreeks

ScheduledAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel Gepland (vereist)
properties Eigenschappen van geplande waarschuwingsregel ScheduledAlertRuleProperties

ScheduledAlertRuleProperties

Naam Beschrijving Waarde
alertDetailsOverride De instellingen voor het overschrijven van waarschuwingsdetails AlertDetailsOverride
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks
customDetails Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld object
beschrijving De beschrijving van de waarschuwingsregel. tekenreeks
displayName De weergavenaam voor waarschuwingen die door deze waarschuwingsregel zijn gemaakt. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
entityMappings Matrix van de entiteitstoewijzingen van de waarschuwingsregel EntityMapping[]
eventGroupingSettings De instellingen voor gebeurtenisgroepering. EventGroupingSettings
incidentConfiguration De instellingen van de incidenten die zijn gemaakt op basis van waarschuwingen die zijn geactiveerd door deze analyseregel IncidentConfiguration
query De query waarmee waarschuwingen voor deze regel worden gemaakt. tekenreeks
queryFrequency De frequentie (in ISO 8601-duurnotatie) voor het uitvoeren van deze waarschuwingsregel. tekenreeks
queryPeriod De periode (in ISO 8601-duurnotatie) waarnaar deze waarschuwingsregel kijkt. tekenreeks
sentinelEntitiesMappings Matrix van de sentinel-entiteitstoewijzingen van de waarschuwingsregel SentinelEntityMapping[]
ernst De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. "Hoog"
"Informatie"
"Laag"
"Gemiddeld"
suppressDuration De onderdrukking (in ISO 8601-duurnotatie) om te wachten sinds de laatste keer dat deze waarschuwingsregel is geactiveerd. tekenreeks (vereist)
suppressEnabled Bepaalt of de onderdrukking voor deze waarschuwingsregel is ingeschakeld of uitgeschakeld. bool (vereist)
Tactiek De tactieken van de waarschuwingsregel Tekenreeksmatrix met een van de volgende:
"Verzameling"
"CommandAndControl"
"CredentialAccess"
"DefenseEvasion"
"Detectie"
"Uitvoering"
"Exfiltratie"
"Impact"
"ImpairProcessControl"
"InhibitResponseFunction"
"InitialAccess"
"LateralMovement"
"Persistentie"
"PreAttack"
"PrivilegeEscalation"
"Reconnaissance"
"ResourceOntwikkeling"
Technieken De technieken van de waarschuwingsregel tekenreeks[]
templateVersion De versie van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken- in de indeling {a.b.c}, waarbij alle getallen zijn, bijvoorbeeld 0 {1.0.2} tekenreeks
triggerOperator De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. "Gelijk"
"GreaterThan"
"LessThan"
"NotEqual"
triggerThreshold De drempelwaarde activeert deze waarschuwingsregel. int

ThreatIntelligenceAlertRule

Naam Beschrijving Waarde
Soort Het type waarschuwingsregel ThreatIntelligence (vereist)
properties Eigenschappen van waarschuwingsregels voor bedreigingsinformatie ThreatIntelligenceAlertRuleProperties

ThreatIntelligenceAlertRuleProperties

Naam Beschrijving Waarde
alertRuleTemplateName De naam van de waarschuwingsregelsjabloon die wordt gebruikt om deze regel te maken. tekenreeks (vereist)
enabled Bepaalt of deze waarschuwingsregel is in- of uitgeschakeld. bool (vereist)