Alert Rule Templates - Get
Hiermee haalt u de sjabloon voor de waarschuwingsregel op.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates/{alertRuleTemplateId}?api-version=2024-03-01URI-parameters
| Name | In | Vereist | Type | Description |
|---|---|---|---|---|
|
alert
|
path | True |
string |
Sjabloon-id voor waarschuwingsregel |
|
resource
|
path | True |
string |
De naam van de resourcegroep. De naam is niet hoofdlettergevoelig. |
|
subscription
|
path | True |
string |
De id van het doelabonnement. |
|
workspace
|
path | True |
string |
De naam van de werkruimte. Regex pattern: |
|
api-version
|
query | True |
string |
De API-versie die voor deze bewerking moet worden gebruikt. |
Antwoorden
| Name | Type | Description |
|---|---|---|
| 200 OK | AlertRuleTemplate: |
OK, de bewerking is voltooid |
| Other Status Codes |
Foutreactie waarin wordt beschreven waarom de bewerking is mislukt. |
Beveiliging
azure_auth
Azure Active Directory OAuth2-stroom
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Name | Description |
|---|---|
| user_impersonation | uw gebruikersaccount imiteren |
Voorbeelden
Get alert rule template by Id.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
"name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Scheduled",
"properties": {
"severity": "Low",
"query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
"queryFrequency": "P1D",
"queryPeriod": "P1D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"displayName": "Changes to Amazon VPC settings",
"description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"tactics": [
"PrivilegeEscalation",
"LateralMovement"
],
"lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
"createdDateUTC": "2019-02-27T00:00:00Z",
"status": "Available",
"version": "1.0.2",
"requiredDataConnectors": [
{
"connectorId": "AWS",
"dataTypes": [
"AWSCloudTrail"
]
}
],
"entityMappings": [
{
"entityType": "Account",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "AccountCustomEntity"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "IPCustomEntity"
}
]
}
],
"customDetails": {
"EventNames": "EventName",
"EventTypes": "EventTypeName"
},
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert on event {{EventName}}",
"alertDescriptionFormat": "Suspicious activity was made by {{AccountCustomEntity}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"alertRulesCreatedByTemplateCount": 0
}
}Definities
| Name | Description |
|---|---|
|
Alert |
Instellingen voor het dynamisch overschrijven van statische details van waarschuwingen |
|
Alert |
De V3-waarschuwingseigenschap |
|
Alert |
Een toewijzing van één waarschuwingseigenschap die moet worden overschreven |
|
Alert |
gegevensbronnen voor waarschuwingsregelsjablonen |
|
Alert |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
|
Attack |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
|
Cloud |
Structuur van foutreacties. |
|
Cloud |
Foutdetails. |
|
created |
Het type identiteit waarmee de resource is gemaakt. |
|
Entity |
Toewijzing van één entiteit voor de waarschuwingsregel |
|
Entity |
Het V3-type van de toegewezen entiteit |
|
Event |
De aggregatietypen voor gebeurtenisgroepering |
|
Event |
Eigenschappenverzameling met instellingen voor gebeurtenisgroepering. |
|
Field |
Eén veldtoewijzing van de toegewezen entiteit |
|
Fusion |
Vertegenwoordigt fusion-waarschuwingsregelsjabloon. |
|
Microsoft |
Vertegenwoordigt de regelsjabloon MicrosoftSecurityIncidentCreation. |
|
Microsoft |
De productName van de waarschuwingen waarop de cases worden gegenereerd |
|
Scheduled |
Vertegenwoordigt een sjabloon voor een geplande waarschuwingsregel. |
|
system |
Metagegevens met betrekking tot het maken en laatste wijzigen van de resource. |
|
Template |
De status van de waarschuwingsregelsjabloon. |
|
Trigger |
De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. |
AlertDetailsOverride
Instellingen voor het dynamisch overschrijven van statische details van waarschuwingen
| Name | Type | Description |
|---|---|---|
| alertDescriptionFormat |
string |
de indeling met kolomnamen om de beschrijving van de waarschuwing te overschrijven |
| alertDisplayNameFormat |
string |
de indeling met kolomnamen om de naam van de waarschuwing te overschrijven |
| alertDynamicProperties |
Lijst met aanvullende dynamische eigenschappen die moeten worden overschreven |
|
| alertSeverityColumnName |
string |
de kolomnaam waaruit de ernst van de waarschuwing moet worden afgeleid |
| alertTacticsColumnName |
string |
de kolomnaam waaruit u de waarschuwingstactieken wilt halen |
AlertProperty
De V3-waarschuwingseigenschap
| Name | Type | Description |
|---|---|---|
| AlertLink |
string |
Koppeling van waarschuwing |
| ConfidenceLevel |
string |
Eigenschap betrouwbaarheidsniveau |
| ConfidenceScore |
string |
Betrouwbaarheidsscore |
| ExtendedLinks |
string |
Uitgebreide koppelingen naar de waarschuwing |
| ProductComponentName |
string |
Waarschuwingseigenschap productonderdeelnaam |
| ProductName |
string |
Waarschuwingseigenschap productnaam |
| ProviderName |
string |
Waarschuwingseigenschap providernaam |
| RemediationSteps |
string |
Waarschuwingseigenschap voor herstelstappen |
| Techniques |
string |
Waarschuwingseigenschap Technieken |
AlertPropertyMapping
Een toewijzing van één waarschuwingseigenschap die moet worden overschreven
| Name | Type | Description |
|---|---|---|
| alertProperty |
De V3-waarschuwingseigenschap |
|
| value |
string |
de kolomnaam die moet worden gebruikt om deze eigenschap te overschrijven |
AlertRuleTemplateDataSource
gegevensbronnen voor waarschuwingsregelsjablonen
| Name | Type | Description |
|---|---|---|
| connectorId |
string |
De connector-id met de volgende gegevenstypen |
| dataTypes |
string[] |
De gegevenstypen die worden gebruikt door de waarschuwingsregelsjabloon |
AlertSeverity
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt.
| Name | Type | Description |
|---|---|---|
| High |
string |
Hoge ernst |
| Informational |
string |
Ernst van informatie |
| Low |
string |
Lage ernst |
| Medium |
string |
Gemiddelde ernst |
AttackTactic
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt.
| Name | Type | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Structuur van foutreacties.
| Name | Type | Description |
|---|---|---|
| error |
Foutgegevens |
CloudErrorBody
Foutdetails.
| Name | Type | Description |
|---|---|---|
| code |
string |
Een id voor de fout. Codes zijn invariant en zijn bedoeld om programmatisch te worden gebruikt. |
| message |
string |
Een bericht met een beschrijving van de fout, bedoeld om te worden weergegeven in een gebruikersinterface. |
createdByType
Het type identiteit waarmee de resource is gemaakt.
| Name | Type | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityMapping
Toewijzing van één entiteit voor de waarschuwingsregel
| Name | Type | Description |
|---|---|---|
| entityType |
Het V3-type van de toegewezen entiteit |
|
| fieldMappings |
matrix met veldtoewijzingen voor de opgegeven entiteitstoewijzing |
EntityMappingType
Het V3-type van de toegewezen entiteit
| Name | Type | Description |
|---|---|---|
| Account |
string |
Entiteitstype gebruikersaccount |
| AzureResource |
string |
Type Azure-resource-entiteit |
| CloudApplication |
string |
Entiteitstype cloud-app |
| DNS |
string |
DNS-entiteitstype |
| File |
string |
Entiteitstype systeembestand |
| FileHash |
string |
Entiteitstype file-hash |
| Host |
string |
Type hostentiteit |
| IP |
string |
Entiteitstype IP-adres |
| MailCluster |
string |
Entiteitstype e-mailcluster |
| MailMessage |
string |
Entiteitstype e-mailbericht |
| Mailbox |
string |
Entiteitstype postvak |
| Malware |
string |
Entiteitstype malware |
| Process |
string |
Type procesentiteit |
| RegistryKey |
string |
Entiteitstype registersleutel |
| RegistryValue |
string |
Entiteitstype Registerwaarde |
| SecurityGroup |
string |
Entiteitstype beveiligingsgroep |
| SubmissionMail |
string |
Entiteitstype E-mail verzenden |
| URL |
string |
URL-entiteitstype |
EventGroupingAggregationKind
De aggregatietypen voor gebeurtenisgroepering
| Name | Type | Description |
|---|---|---|
| AlertPerResult |
string |
|
| SingleAlert |
string |
EventGroupingSettings
Eigenschappenverzameling met instellingen voor gebeurtenisgroepering.
| Name | Type | Description |
|---|---|---|
| aggregationKind |
De aggregatietypen voor gebeurtenisgroepering |
FieldMapping
Eén veldtoewijzing van de toegewezen entiteit
| Name | Type | Description |
|---|---|---|
| columnName |
string |
de kolomnaam die moet worden toegewezen aan de id |
| identifier |
string |
de V3-id van de entiteit |
FusionAlertRuleTemplate
Vertegenwoordigt fusion-waarschuwingsregelsjabloon.
| Name | Type | Description |
|---|---|---|
| id |
string |
Volledig gekwalificeerde resource-id voor de resource. Bijvoorbeeld - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Fusion |
Het type waarschuwingsregel |
| name |
string |
De naam van de resource |
| properties.alertRulesCreatedByTemplateCount |
integer |
het aantal waarschuwingsregels dat door deze sjabloon is gemaakt |
| properties.createdDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon is toegevoegd. |
| properties.description |
string |
De beschrijving van de waarschuwingsregelsjabloon. |
| properties.displayName |
string |
De weergavenaam voor de waarschuwingsregelsjabloon. |
| properties.lastUpdatedDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon voor het laatst is bijgewerkt. |
| properties.requiredDataConnectors |
De vereiste gegevensconnectors voor deze sjabloon |
|
| properties.severity |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
|
| properties.status |
De status van de waarschuwingsregelsjabloon. |
|
| properties.tactics |
De tactieken van de waarschuwingsregelsjabloon |
|
| properties.techniques |
string[] |
De technieken van de waarschuwingsregelsjabloon |
| systemData |
Azure Resource Manager metagegevens met informatie over createdBy en modifiedBy. |
|
| type |
string |
Het type resource. Bijvoorbeeld 'Microsoft.Compute/virtualMachines' of 'Microsoft.Storage/storageAccounts' |
MicrosoftSecurityIncidentCreationAlertRuleTemplate
Vertegenwoordigt de regelsjabloon MicrosoftSecurityIncidentCreation.
| Name | Type | Description |
|---|---|---|
| id |
string |
Volledig gekwalificeerde resource-id voor de resource. Bijvoorbeeld - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Microsoft |
Het type waarschuwingsregel |
| name |
string |
De naam van de resource |
| properties.alertRulesCreatedByTemplateCount |
integer |
het aantal waarschuwingsregels dat door deze sjabloon is gemaakt |
| properties.createdDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon is toegevoegd. |
| properties.description |
string |
De beschrijving van de waarschuwingsregelsjabloon. |
| properties.displayName |
string |
De weergavenaam voor de waarschuwingsregelsjabloon. |
| properties.displayNamesExcludeFilter |
string[] |
de displayNames van de waarschuwingen waarop de cases niet worden gegenereerd |
| properties.displayNamesFilter |
string[] |
de displayNames van de waarschuwingen waarop de cases worden gegenereerd |
| properties.lastUpdatedDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon voor het laatst is bijgewerkt. |
| properties.productFilter |
De productName van de waarschuwingen waarop de cases worden gegenereerd |
|
| properties.requiredDataConnectors |
De vereiste gegevensconnectors voor deze sjabloon |
|
| properties.severitiesFilter |
de ernst van de waarschuwingen waarop de cases worden gegenereerd |
|
| properties.status |
De status van de waarschuwingsregelsjabloon. |
|
| systemData |
Azure Resource Manager metagegevens met informatie over createdBy en modifiedBy. |
|
| type |
string |
Het type resource. Bijvoorbeeld 'Microsoft.Compute/virtualMachines' of 'Microsoft.Storage/storageAccounts' |
MicrosoftSecurityProductName
De productName van de waarschuwingen waarop de cases worden gegenereerd
| Name | Type | Description |
|---|---|---|
| Azure Active Directory Identity Protection |
string |
|
| Azure Advanced Threat Protection |
string |
|
| Azure Security Center |
string |
|
| Azure Security Center for IoT |
string |
|
| Microsoft Cloud App Security |
string |
ScheduledAlertRuleTemplate
Vertegenwoordigt een sjabloon voor een geplande waarschuwingsregel.
| Name | Type | Description |
|---|---|---|
| id |
string |
Volledig gekwalificeerde resource-id voor de resource. Bijvoorbeeld - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Scheduled |
Het type waarschuwingsregel |
| name |
string |
De naam van de resource |
| properties.alertDetailsOverride |
De instellingen voor het overschrijven van waarschuwingsdetails |
|
| properties.alertRulesCreatedByTemplateCount |
integer |
het aantal waarschuwingsregels dat door deze sjabloon is gemaakt |
| properties.createdDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon is toegevoegd. |
| properties.customDetails |
object |
Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld |
| properties.description |
string |
De beschrijving van de waarschuwingsregelsjabloon. |
| properties.displayName |
string |
De weergavenaam voor de waarschuwingsregelsjabloon. |
| properties.entityMappings |
Matrix van de entiteitstoewijzingen van de waarschuwingsregel |
|
| properties.eventGroupingSettings |
De instellingen voor gebeurtenisgroepering. |
|
| properties.lastUpdatedDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon voor het laatst is bijgewerkt. |
| properties.query |
string |
De query waarmee waarschuwingen voor deze regel worden gemaakt. |
| properties.queryFrequency |
string |
De frequentie (in ISO 8601-duurnotatie) voor het uitvoeren van deze waarschuwingsregel. |
| properties.queryPeriod |
string |
De periode (in ISO 8601-duurnotatie) waarnaar deze waarschuwingsregel kijkt. |
| properties.requiredDataConnectors |
De vereiste gegevensconnectors voor deze sjabloon |
|
| properties.severity |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
|
| properties.status |
De status van de waarschuwingsregelsjabloon. |
|
| properties.tactics |
De tactieken van de waarschuwingsregelsjabloon |
|
| properties.techniques |
string[] |
De technieken van de waarschuwingsregelsjabloon |
| properties.triggerOperator |
De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. |
|
| properties.triggerThreshold |
integer |
De drempelwaarde activeert deze waarschuwingsregel. |
| properties.version |
string |
De versie van deze sjabloon - in de indeling <a.b.c>, waarbij alle getallen zijn. Bijvoorbeeld <1.0.2>. |
| systemData |
Azure Resource Manager metagegevens met informatie over createdBy en modifiedBy. |
|
| type |
string |
Het type resource. Bijvoorbeeld 'Microsoft.Compute/virtualMachines' of 'Microsoft.Storage/storageAccounts' |
systemData
Metagegevens met betrekking tot het maken en laatste wijzigen van de resource.
| Name | Type | Description |
|---|---|---|
| createdAt |
string |
De tijdstempel van het maken van resources (UTC). |
| createdBy |
string |
De identiteit die de resource heeft gemaakt. |
| createdByType |
Het type identiteit waarmee de resource is gemaakt. |
|
| lastModifiedAt |
string |
Het tijdstempel van de laatste wijziging van de resource (UTC) |
| lastModifiedBy |
string |
De identiteit die de resource het laatst heeft gewijzigd. |
| lastModifiedByType |
Het type identiteit dat de resource het laatst heeft gewijzigd. |
TemplateStatus
De status van de waarschuwingsregelsjabloon.
| Name | Type | Description |
|---|---|---|
| Available |
string |
De sjabloon waarschuwingsregel is beschikbaar. |
| Installed |
string |
Waarschuwingsregelsjabloon geïnstalleerd. en kan niet meer dan één keer gebruiken |
| NotAvailable |
string |
Waarschuwingsregelsjabloon is niet beschikbaar |
TriggerOperator
De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert.
| Name | Type | Description |
|---|---|---|
| Equal |
string |
|
| GreaterThan |
string |
|
| LessThan |
string |
|
| NotEqual |
string |