Alert Rule Templates - Get
Hiermee haalt u de sjabloon voor de waarschuwingsregel op.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates/{alertRuleTemplateId}?api-version=2024-03-01
URI-parameters
Name | In | Vereist | Type | Description |
---|---|---|---|---|
alert
|
path | True |
string |
Sjabloon-id voor waarschuwingsregel |
resource
|
path | True |
string |
De naam van de resourcegroep. De naam is niet hoofdlettergevoelig. |
subscription
|
path | True |
string |
De id van het doelabonnement. |
workspace
|
path | True |
string |
De naam van de werkruimte. Regex-patroon: |
api-version
|
query | True |
string |
De API-versie die voor deze bewerking moet worden gebruikt. |
Antwoorden
Name | Type | Description |
---|---|---|
200 OK | AlertRuleTemplate: |
OK, de bewerking is voltooid |
Other Status Codes |
Foutreactie waarin wordt beschreven waarom de bewerking is mislukt. |
Beveiliging
azure_auth
Azure Active Directory OAuth2-stroom
Type:
oauth2
Stroom:
implicit
Autorisatie-URL:
https://login.microsoftonline.com/common/oauth2/authorize
Bereiken
Name | Description |
---|---|
user_impersonation | uw gebruikersaccount imiteren |
Voorbeelden
Get alert rule template by Id.
Voorbeeldaanvraag
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa?api-version=2024-03-01
Voorbeeldrespons
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
"name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Scheduled",
"properties": {
"severity": "Low",
"query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
"queryFrequency": "P1D",
"queryPeriod": "P1D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"displayName": "Changes to Amazon VPC settings",
"description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"tactics": [
"PrivilegeEscalation",
"LateralMovement"
],
"lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
"createdDateUTC": "2019-02-27T00:00:00Z",
"status": "Available",
"version": "1.0.2",
"requiredDataConnectors": [
{
"connectorId": "AWS",
"dataTypes": [
"AWSCloudTrail"
]
}
],
"entityMappings": [
{
"entityType": "Account",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "AccountCustomEntity"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "IPCustomEntity"
}
]
}
],
"customDetails": {
"EventNames": "EventName",
"EventTypes": "EventTypeName"
},
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert on event {{EventName}}",
"alertDescriptionFormat": "Suspicious activity was made by {{AccountCustomEntity}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"alertRulesCreatedByTemplateCount": 0
}
}
Definities
Name | Description |
---|---|
Alert |
Instellingen voor het dynamisch overschrijven van statische details van waarschuwingen |
Alert |
De V3-waarschuwingseigenschap |
Alert |
Een toewijzing van één waarschuwingseigenschap die moet worden overschreven |
Alert |
gegevensbronnen voor waarschuwingsregelsjablonen |
Alert |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
Attack |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
Cloud |
Structuur van foutreacties. |
Cloud |
Foutdetails. |
created |
Het type identiteit waarmee de resource is gemaakt. |
Entity |
Toewijzing van één entiteit voor de waarschuwingsregel |
Entity |
Het V3-type van de toegewezen entiteit |
Event |
De aggregatietypen voor gebeurtenisgroepering |
Event |
Eigenschappenverzameling met instellingen voor gebeurtenisgroepering. |
Field |
Eén veldtoewijzing van de toegewezen entiteit |
Fusion |
Vertegenwoordigt fusion-waarschuwingsregelsjabloon. |
Microsoft |
Vertegenwoordigt de regelsjabloon MicrosoftSecurityIncidentCreation. |
Microsoft |
De productName van de waarschuwingen waarop de cases worden gegenereerd |
Scheduled |
Vertegenwoordigt een sjabloon voor een geplande waarschuwingsregel. |
system |
Metagegevens met betrekking tot het maken en laatste wijzigen van de resource. |
Template |
De status van de waarschuwingsregelsjabloon. |
Trigger |
De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. |
AlertDetailsOverride
Instellingen voor het dynamisch overschrijven van statische details van waarschuwingen
Name | Type | Description |
---|---|---|
alertDescriptionFormat |
string |
de indeling met kolomnamen om de beschrijving van de waarschuwing te overschrijven |
alertDisplayNameFormat |
string |
de indeling met kolomnamen om de naam van de waarschuwing te overschrijven |
alertDynamicProperties |
Lijst met aanvullende dynamische eigenschappen die moeten worden overschreven |
|
alertSeverityColumnName |
string |
de kolomnaam waaruit de ernst van de waarschuwing moet worden afgeleid |
alertTacticsColumnName |
string |
de kolomnaam waaruit u de waarschuwingstactieken wilt halen |
AlertProperty
De V3-waarschuwingseigenschap
Name | Type | Description |
---|---|---|
AlertLink |
string |
Koppeling van waarschuwing |
ConfidenceLevel |
string |
Eigenschap betrouwbaarheidsniveau |
ConfidenceScore |
string |
Betrouwbaarheidsscore |
ExtendedLinks |
string |
Uitgebreide koppelingen naar de waarschuwing |
ProductComponentName |
string |
Waarschuwingseigenschap productonderdeelnaam |
ProductName |
string |
Waarschuwingseigenschap productnaam |
ProviderName |
string |
Waarschuwingseigenschap providernaam |
RemediationSteps |
string |
Waarschuwingseigenschap voor herstelstappen |
Techniques |
string |
Waarschuwingseigenschap Technieken |
AlertPropertyMapping
Een toewijzing van één waarschuwingseigenschap die moet worden overschreven
Name | Type | Description |
---|---|---|
alertProperty |
De V3-waarschuwingseigenschap |
|
value |
string |
de kolomnaam die moet worden gebruikt om deze eigenschap te overschrijven |
AlertRuleTemplateDataSource
gegevensbronnen voor waarschuwingsregelsjablonen
Name | Type | Description |
---|---|---|
connectorId |
string |
De connector-id met de volgende gegevenstypen |
dataTypes |
string[] |
De gegevenstypen die worden gebruikt door de waarschuwingsregelsjabloon |
AlertSeverity
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt.
Name | Type | Description |
---|---|---|
High |
string |
Hoge ernst |
Informational |
string |
Ernst van informatie |
Low |
string |
Lage ernst |
Medium |
string |
Gemiddelde ernst |
AttackTactic
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt.
Name | Type | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Structuur van foutreacties.
Name | Type | Description |
---|---|---|
error |
Foutgegevens |
CloudErrorBody
Foutdetails.
Name | Type | Description |
---|---|---|
code |
string |
Een id voor de fout. Codes zijn invariant en zijn bedoeld om programmatisch te worden gebruikt. |
message |
string |
Een bericht met een beschrijving van de fout, bedoeld om te worden weergegeven in een gebruikersinterface. |
createdByType
Het type identiteit waarmee de resource is gemaakt.
Name | Type | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
Toewijzing van één entiteit voor de waarschuwingsregel
Name | Type | Description |
---|---|---|
entityType |
Het V3-type van de toegewezen entiteit |
|
fieldMappings |
matrix met veldtoewijzingen voor de opgegeven entiteitstoewijzing |
EntityMappingType
Het V3-type van de toegewezen entiteit
Name | Type | Description |
---|---|---|
Account |
string |
Entiteitstype gebruikersaccount |
AzureResource |
string |
Type Azure-resource-entiteit |
CloudApplication |
string |
Entiteitstype cloud-app |
DNS |
string |
DNS-entiteitstype |
File |
string |
Entiteitstype systeembestand |
FileHash |
string |
Entiteitstype file-hash |
Host |
string |
Type hostentiteit |
IP |
string |
Entiteitstype IP-adres |
MailCluster |
string |
Entiteitstype e-mailcluster |
MailMessage |
string |
Entiteitstype e-mailbericht |
Mailbox |
string |
Entiteitstype postvak |
Malware |
string |
Entiteitstype malware |
Process |
string |
Type procesentiteit |
RegistryKey |
string |
Entiteitstype registersleutel |
RegistryValue |
string |
Entiteitstype Registerwaarde |
SecurityGroup |
string |
Entiteitstype beveiligingsgroep |
SubmissionMail |
string |
Entiteitstype E-mail verzenden |
URL |
string |
URL-entiteitstype |
EventGroupingAggregationKind
De aggregatietypen voor gebeurtenisgroepering
Name | Type | Description |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
Eigenschappenverzameling met instellingen voor gebeurtenisgroepering.
Name | Type | Description |
---|---|---|
aggregationKind |
De aggregatietypen voor gebeurtenisgroepering |
FieldMapping
Eén veldtoewijzing van de toegewezen entiteit
Name | Type | Description |
---|---|---|
columnName |
string |
de kolomnaam die moet worden toegewezen aan de id |
identifier |
string |
de V3-id van de entiteit |
FusionAlertRuleTemplate
Vertegenwoordigt fusion-waarschuwingsregelsjabloon.
Name | Type | Description |
---|---|---|
id |
string |
Volledig gekwalificeerde resource-id voor de resource. Bijvoorbeeld - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
Het type waarschuwingsregel |
name |
string |
De naam van de resource |
properties.alertRulesCreatedByTemplateCount |
integer |
het aantal waarschuwingsregels dat door deze sjabloon is gemaakt |
properties.createdDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon is toegevoegd. |
properties.description |
string |
De beschrijving van de waarschuwingsregelsjabloon. |
properties.displayName |
string |
De weergavenaam voor de waarschuwingsregelsjabloon. |
properties.lastUpdatedDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon voor het laatst is bijgewerkt. |
properties.requiredDataConnectors |
De vereiste gegevensconnectors voor deze sjabloon |
|
properties.severity |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
|
properties.status |
De status van de waarschuwingsregelsjabloon. |
|
properties.tactics |
De tactieken van de waarschuwingsregelsjabloon |
|
properties.techniques |
string[] |
De technieken van de waarschuwingsregelsjabloon |
systemData |
Azure Resource Manager metagegevens met informatie over createdBy en modifiedBy. |
|
type |
string |
Het type resource. Bijvoorbeeld 'Microsoft.Compute/virtualMachines' of 'Microsoft.Storage/storageAccounts' |
MicrosoftSecurityIncidentCreationAlertRuleTemplate
Vertegenwoordigt de regelsjabloon MicrosoftSecurityIncidentCreation.
Name | Type | Description |
---|---|---|
id |
string |
Volledig gekwalificeerde resource-id voor de resource. Bijvoorbeeld - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
Het type waarschuwingsregel |
name |
string |
De naam van de resource |
properties.alertRulesCreatedByTemplateCount |
integer |
het aantal waarschuwingsregels dat door deze sjabloon is gemaakt |
properties.createdDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon is toegevoegd. |
properties.description |
string |
De beschrijving van de waarschuwingsregelsjabloon. |
properties.displayName |
string |
De weergavenaam voor de waarschuwingsregelsjabloon. |
properties.displayNamesExcludeFilter |
string[] |
de displayNames van de waarschuwingen waarop de cases niet worden gegenereerd |
properties.displayNamesFilter |
string[] |
de displayNames van de waarschuwingen waarop de cases worden gegenereerd |
properties.lastUpdatedDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon voor het laatst is bijgewerkt. |
properties.productFilter |
De productName van de waarschuwingen waarop de cases worden gegenereerd |
|
properties.requiredDataConnectors |
De vereiste gegevensconnectors voor deze sjabloon |
|
properties.severitiesFilter |
de ernst van de waarschuwingen waarop de cases worden gegenereerd |
|
properties.status |
De status van de waarschuwingsregelsjabloon. |
|
systemData |
Azure Resource Manager metagegevens met informatie over createdBy en modifiedBy. |
|
type |
string |
Het type resource. Bijvoorbeeld 'Microsoft.Compute/virtualMachines' of 'Microsoft.Storage/storageAccounts' |
MicrosoftSecurityProductName
De productName van de waarschuwingen waarop de cases worden gegenereerd
Name | Type | Description |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRuleTemplate
Vertegenwoordigt een sjabloon voor een geplande waarschuwingsregel.
Name | Type | Description |
---|---|---|
id |
string |
Volledig gekwalificeerde resource-id voor de resource. Bijvoorbeeld - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
Het type waarschuwingsregel |
name |
string |
De naam van de resource |
properties.alertDetailsOverride |
De instellingen voor het overschrijven van waarschuwingsdetails |
|
properties.alertRulesCreatedByTemplateCount |
integer |
het aantal waarschuwingsregels dat door deze sjabloon is gemaakt |
properties.createdDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon is toegevoegd. |
properties.customDetails |
object |
Woordenlijst van sleutel-waardeparen van tekenreeksen met kolommen die aan de waarschuwing moeten worden gekoppeld |
properties.description |
string |
De beschrijving van de waarschuwingsregelsjabloon. |
properties.displayName |
string |
De weergavenaam voor de waarschuwingsregelsjabloon. |
properties.entityMappings |
Matrix van de entiteitstoewijzingen van de waarschuwingsregel |
|
properties.eventGroupingSettings |
De instellingen voor gebeurtenisgroepering. |
|
properties.lastUpdatedDateUTC |
string |
Het tijdstip waarop deze waarschuwingsregelsjabloon voor het laatst is bijgewerkt. |
properties.query |
string |
De query waarmee waarschuwingen voor deze regel worden gemaakt. |
properties.queryFrequency |
string |
De frequentie (in ISO 8601-duurnotatie) voor het uitvoeren van deze waarschuwingsregel. |
properties.queryPeriod |
string |
De periode (in ISO 8601-duurnotatie) waarnaar deze waarschuwingsregel kijkt. |
properties.requiredDataConnectors |
De vereiste gegevensconnectors voor deze sjabloon |
|
properties.severity |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
|
properties.status |
De status van de waarschuwingsregelsjabloon. |
|
properties.tactics |
De tactieken van de waarschuwingsregelsjabloon |
|
properties.techniques |
string[] |
De technieken van de waarschuwingsregelsjabloon |
properties.triggerOperator |
De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert. |
|
properties.triggerThreshold |
integer |
De drempelwaarde activeert deze waarschuwingsregel. |
properties.version |
string |
De versie van deze sjabloon - in de indeling <a.b.c>, waarbij alle getallen zijn. Bijvoorbeeld <1.0.2>. |
systemData |
Azure Resource Manager metagegevens met informatie over createdBy en modifiedBy. |
|
type |
string |
Het type resource. Bijvoorbeeld 'Microsoft.Compute/virtualMachines' of 'Microsoft.Storage/storageAccounts' |
systemData
Metagegevens met betrekking tot het maken en laatste wijzigen van de resource.
Name | Type | Description |
---|---|---|
createdAt |
string |
De tijdstempel van het maken van resources (UTC). |
createdBy |
string |
De identiteit die de resource heeft gemaakt. |
createdByType |
Het type identiteit waarmee de resource is gemaakt. |
|
lastModifiedAt |
string |
Het tijdstempel van de laatste wijziging van de resource (UTC) |
lastModifiedBy |
string |
De identiteit die de resource het laatst heeft gewijzigd. |
lastModifiedByType |
Het type identiteit dat de resource het laatst heeft gewijzigd. |
TemplateStatus
De status van de waarschuwingsregelsjabloon.
Name | Type | Description |
---|---|---|
Available |
string |
De sjabloon waarschuwingsregel is beschikbaar. |
Installed |
string |
Waarschuwingsregelsjabloon geïnstalleerd. en kan niet meer dan één keer gebruiken |
NotAvailable |
string |
Waarschuwingsregelsjabloon is niet beschikbaar |
TriggerOperator
De bewerking op basis van de drempelwaarde die de waarschuwingsregel activeert.
Name | Type | Description |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |