Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
- najnowsze
- 2025-09-01
- 2025-07-01-preview
- 2025-06-01
- 2025-04-01-podgląd
- 2025-03-01
- 2025-01-01-podgląd
- 2024-10-01-podgląd
- 2024-09-01
- 2024-04-01-podgląd
- 2024-03-01
- 2024-01-01-podgląd
- 2023-12-01-podgląd
- 2023-11-01
- 2023-10-01-podgląd
- 2023-09-01-podgląd
-
2023-08-01-preview - 2023-07-01-podgląd
- 2023-06-01-podgląd
- 2023-05-01-podgląd
- 2023-04-01-podgląd
- 2023-03-01-podgląd
- 2023-02-01
- 2023-02-01-podgląd
- 2022-12-01-podgląd
- 2022-11-01
- 2022-11-01-podgląd
- 2022-10-01-podgląd
- 2022-09-01-podgląd
- 2022-08-01
- 2022-08-01-podgląd
- 2022-07-01-podgląd
- 2022-06-01-podgląd
- 2022-05-01-podgląd
- 2022-04-01-podgląd
- 2022-01-01-podgląd
- 2021-10-01
- 2021-10-01-podgląd
- 2021-09-01-podgląd
- 2021-03-01-podgląd
- 2020-01-01
- 2019-01-01-podgląd
Definicja zasobu Bicep
Typ zasobu alertRules można wdrożyć przy użyciu operacji docelowych:
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.SecurityInsights/alertRules, dodaj następujący kod Bicep do szablonu.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2025-09-01' = {
etag: 'string'
name: 'string'
kind: 'string'
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Obiekty Microsoft.SecurityInsights/alertRules
Ustaw właściwość typu
W przypadku
{
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
}
W przypadku MicrosoftSecurityIncidentCreationużyj:
{
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
}
W przypadku Zaplanowaneużyj:
{
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {
{customized property}: 'string'
}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
}
Wartości właściwości
Microsoft.SecurityInsights/alertRules
| Nazwa | Opis | Wartość |
|---|---|---|
| Znacznik ETAG | Etag zasobu platformy Azure | ciąg |
| rodzaj | Ustaw wartość "Fusion" dla typu FusionAlertRule. Ustaw wartość "MicrosoftSecurityIncidentCreation" dla typu MicrosoftSecurityIncidentCreationAlertRule. Ustaw wartość "Scheduled" dla typu ScheduledAlertRule. | "Fusion" "MicrosoftSecurityIncidentCreation" "Zaplanowane" (wymagane) |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| zakres | Użyj polecenia podczas tworzenia zasobu w zakresie innym niż zakres wdrożenia. | Ustaw tę właściwość na symboliczną nazwę zasobu, aby zastosować zasób rozszerzenia . |
AlertDetailsOverride
| Nazwa | Opis | Wartość |
|---|---|---|
| alertDescriptionFormat (format alertu) | format zawierający nazwy kolumn, aby zastąpić opis alertu | ciąg |
| alertDisplayNameFormat | format zawierający nazwy kolumn, aby zastąpić nazwę alertu | ciąg |
| alertDynamicProperties (właściwości alertDynamic) | Lista dodatkowych właściwości dynamicznych do zastąpienia | Mapowanie właściwości alertów[] |
| alertYeverityColumnName | nazwa kolumny do podjęcia ważności alertu z | ciąg |
| alertTacticsColumnName (nazwa_kolumny) | nazwa kolumny do podjęcia taktyki alertu z | ciąg |
Mapowanie właściwości alertów
| Nazwa | Opis | Wartość |
|---|---|---|
| alertWłaściwości | Właściwość alertu w wersji 3 | "AlertLink" "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" "ProductComponentName" "ProductName" "ProviderName" "RemediationSteps" "Techniki" |
| wartość | nazwa kolumny, która ma być używana do zastąpienia tej właściwości | ciąg |
MapowanieEntytetu
| Nazwa | Opis | Wartość |
|---|---|---|
| entityType (typ jednostki) | Typ V3 zamapowanej jednostki | "Konto" "AzureResource" "CloudApplication" "DNS" "Plik" "FileHash" "Host" "IP" "Skrzynka pocztowa" "MailCluster" "MailMessage" "Złośliwe oprogramowanie" "Proces" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "Adres URL" |
| fieldMappings (polOdwzorowania) | tablica mapowań pól dla danego mapowania jednostki | Mapowanie pola[] |
EventGroupingSettings
| Nazwa | Opis | Wartość |
|---|---|---|
| aggregationKind (rodzaj agregacji) | Rodzaje agregacji grupowania zdarzeń | "AlertPerResult" "SingleAlert" |
Mapowanie pól
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwa_kolumny | nazwa kolumny, która ma zostać zamapowana na identyfikator | ciąg |
| identyfikator | identyfikator V3 jednostki | ciąg |
Reguła FusionAlertRule
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "Fusion" (wymagane) |
| Właściwości | Właściwości reguły alertu łączenia | Właściwości FusionAlertRuleProperties |
Właściwości FusionAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg (wymagany) |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
GrupowanieKonfiguracja
| Nazwa | Opis | Wartość |
|---|---|---|
| Włączone | Włączone grupowanie | bool (wymagane) |
| groupByAlertDetails (Szczegóły Alertu) | Lista szczegółów alertu do grupowania według (podczas dopasowywaniaMethod jest zaznaczona) | Tablica ciągów zawierająca dowolną z: "DisplayName" "Ważność" |
| groupByCustomDetails (Szczegóły grupy) | Lista niestandardowych kluczy szczegółów do grupowania (podczas dopasowywaniaMethod jest zaznaczona). Mogą być używane tylko klucze zdefiniowane w bieżącej regule alertu. | ciąg znakowy[] |
| groupByEntities (Jednostki grupyByEntities) | Lista typów jednostek do grupowania (w przypadku dopasowaniaMethod to Selected). Mogą być używane tylko jednostki zdefiniowane w bieżącej regule alertu. | Tablica ciągów zawierająca dowolną z: "Konto" "AzureResource" "CloudApplication" "DNS" "Plik" "FileHash" "Host" "IP" "Skrzynka pocztowa" "MailCluster" "MailMessage" "Złośliwe oprogramowanie" "Proces" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "Adres URL" |
| lookbackCzas trwania | Ogranicz grupę do alertów utworzonych w czasie trwania wyszukiwania (w formacie czasu trwania ISO 8601) | ciąg (wymagany) |
| matchingMethod (metoda dopasowania) | Grupowanie pasującej metody. Gdy metoda jest wybrana co najmniej jedna z grupByEntities, grupaByAlertDetails, należy podać grupęByCustomDetails i nie być pusta. | "AllEntities" "AnyAlert" "Selected" (wymagane) |
| reopenClosedIncident (incydent reopen) | Ponowne otwieranie zamkniętych zdarzeń pasujących | bool (wymagane) |
IncidentConfiguration (konfiguracja incydentu)
| Nazwa | Opis | Wartość |
|---|---|---|
| createIncident (Zdarzenie Utworzone) | Tworzenie zdarzeń na podstawie alertów wyzwalanych przez tę regułę analizy | bool (wymagane) |
| grupowanieKonfiguracja | Ustawianie sposobu grupowania alertów wyzwalanych przez tę regułę analizy w zdarzenia | GrupowanieKonfiguracja |
MicrosoftSecurityIncidentCreationAlertRule
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "MicrosoftSecurityIncidentCreation" (wymagane) |
| Właściwości | Właściwości reguły MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg |
| opis | Opis reguły alertu. | ciąg |
| nazwa wyświetlana | Nazwa wyświetlana alertów utworzonych przez tę regułę alertu. | ciąg (wymagany) |
| displayNamesExcludeFilter | displayName alertów, w których przypadki nie zostaną wygenerowane | ciąg znakowy[] |
| displayNamesFilter (Filtr wyświetlanych nazw) | displayName alertów, w których będą generowane przypadki | ciąg znakowy[] |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
| Filtr produktów | ProductName alertów, w których będą generowane przypadki | "Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center for IoT" "Azure Security Center" "Microsoft Cloud App Security" (wymagane) |
| ważnośćFiltr | ważność alertów, w których będą generowane przypadki | Tablica ciągów zawierająca dowolną z: "Wysoki" "Informacyjny" "Niski" "Średni" |
ScheduledAlertRule (Zaplanowana reguła alertu)
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "Zaplanowane" (wymagane) |
| Właściwości | Właściwości reguły zaplanowanego alertu | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Nazwa | Opis | Wartość |
|---|
ScheduledAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertDetailsOverride (alertSzczegółyPrzesłoń) | Ustawienia przesłonięcia szczegółów alertu | AlertDetailsOverride |
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg |
| customDetails (Szczegóły Standardu) | Słownik par klucz-wartość ciągu kolumn do dołączenia do alertu | ScheduledAlertRuleCommonPropertiesCustomDetails |
| opis | Opis reguły alertu. | ciąg |
| nazwa wyświetlana | Nazwa wyświetlana alertów utworzonych przez tę regułę alertu. | ciąg (wymagany) |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
| entityMappings (Identyfikatory jednostek) | Tablica mapowań jednostek reguły alertu | Mapowanie jednostek[] |
| eventGroupingSettings (Ustawienia wydarzenia) | Ustawienia grupowania zdarzeń. | EventGroupingSettings |
| incidentConfiguration (konfiguracja incydentu) | Ustawienia zdarzeń utworzonych na podstawie alertów wyzwalanych przez tę regułę analizy | IncidentConfiguration (konfiguracja incydentu) |
| kwerenda | Zapytanie, które tworzy alerty dla tej reguły. | ciąg |
| queryFrequency (częstotliwość zapytania) | Częstotliwość (w formacie czasu trwania ISO 8601) dla tej reguły alertu do uruchomienia. | ciąg |
| Okres_zapytania | Okres (w formacie czasu trwania ISO 8601), na który patrzy ta reguła alertu. | ciąg |
| dotkliwość | Ważność alertów utworzonych przez tę regułę alertu. | "Wysoki" "Informacyjny" "Niski" "Średni" |
| suppressionDuration | Pomijanie (w formacie czasu trwania ISO 8601) będzie czekać od czasu ostatniego wyzwolenia tej reguły alertu. | ciąg (wymagany) |
| suppressionEnabled (Wyłączono tłumienie) | Określa, czy pomijanie tej reguły alertu jest włączone, czy wyłączone. | bool (wymagane) |
| taktyka | Taktyka reguły alertu | Tablica ciągów zawierająca dowolną z: "Kolekcja" "CommandAndControl" "CredentialAccess" "DefenseEvasion" "Odnajdywanie" "Wykonanie" "Eksfiltracja" "Wpływ" "ImpairProcessControl" "HamujResponseFunction" "InitialAccess" "LateralMovement" "Trwałość" "PreAttack" "PrivilegeEscalation" "Rekonesans" "ResourceDevelopment" |
| Technik | Techniki reguły alertu | ciąg znakowy[] |
| templateVersion (wersja szablonu) | Wersja szablonu reguły alertu użyta do utworzenia tej reguły — w formacie <a.b.c.c>, gdzie wszystkie są liczbami, na przykład 0 <1.0.2> | ciąg |
| triggerOperator (operator wyzwalacza) | Operacja względem progu wyzwalającego regułę alertu. | "Równe" "GreaterThan" "LessThan" "NotEqual" |
| triggerThreshold (próg wyzwalacza) | Próg wyzwala tę regułę alertu. | Int |
Definicja zasobu szablonu usługi ARM
Typ zasobu alertRules można wdrożyć przy użyciu operacji docelowych:
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.SecurityInsights/alertRules, dodaj następujący kod JSON do szablonu.
{
"etag": "string",
"name": "string",
"kind": "string"
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Obiekty Microsoft.SecurityInsights/alertRules
Ustaw właściwość typu
W przypadku
{
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
}
W przypadku MicrosoftSecurityIncidentCreationużyj:
{
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
}
W przypadku Zaplanowaneużyj:
{
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {
"{customized property}": "string"
},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
}
Wartości właściwości
Microsoft.SecurityInsights/alertRules
| Nazwa | Opis | Wartość |
|---|---|---|
| apiVersion (wersja interfejsu api) | Wersja interfejsu API | '2025-09-01' |
| Znacznik ETAG | Etag zasobu platformy Azure | ciąg |
| rodzaj | Ustaw wartość "Fusion" dla typu FusionAlertRule. Ustaw wartość "MicrosoftSecurityIncidentCreation" dla typu MicrosoftSecurityIncidentCreationAlertRule. Ustaw wartość "Scheduled" dla typu ScheduledAlertRule. | "Fusion" "MicrosoftSecurityIncidentCreation" "Zaplanowane" (wymagane) |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| typ | Typ zasobu | "Microsoft.SecurityInsights/alertRules" |
AlertDetailsOverride
| Nazwa | Opis | Wartość |
|---|---|---|
| alertDescriptionFormat (format alertu) | format zawierający nazwy kolumn, aby zastąpić opis alertu | ciąg |
| alertDisplayNameFormat | format zawierający nazwy kolumn, aby zastąpić nazwę alertu | ciąg |
| alertDynamicProperties (właściwości alertDynamic) | Lista dodatkowych właściwości dynamicznych do zastąpienia | Mapowanie właściwości alertów[] |
| alertYeverityColumnName | nazwa kolumny do podjęcia ważności alertu z | ciąg |
| alertTacticsColumnName (nazwa_kolumny) | nazwa kolumny do podjęcia taktyki alertu z | ciąg |
Mapowanie właściwości alertów
| Nazwa | Opis | Wartość |
|---|---|---|
| alertWłaściwości | Właściwość alertu w wersji 3 | "AlertLink" "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" "ProductComponentName" "ProductName" "ProviderName" "RemediationSteps" "Techniki" |
| wartość | nazwa kolumny, która ma być używana do zastąpienia tej właściwości | ciąg |
MapowanieEntytetu
| Nazwa | Opis | Wartość |
|---|---|---|
| entityType (typ jednostki) | Typ V3 zamapowanej jednostki | "Konto" "AzureResource" "CloudApplication" "DNS" "Plik" "FileHash" "Host" "IP" "Skrzynka pocztowa" "MailCluster" "MailMessage" "Złośliwe oprogramowanie" "Proces" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "Adres URL" |
| fieldMappings (polOdwzorowania) | tablica mapowań pól dla danego mapowania jednostki | Mapowanie pola[] |
EventGroupingSettings
| Nazwa | Opis | Wartość |
|---|---|---|
| aggregationKind (rodzaj agregacji) | Rodzaje agregacji grupowania zdarzeń | "AlertPerResult" "SingleAlert" |
Mapowanie pól
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwa_kolumny | nazwa kolumny, która ma zostać zamapowana na identyfikator | ciąg |
| identyfikator | identyfikator V3 jednostki | ciąg |
Reguła FusionAlertRule
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "Fusion" (wymagane) |
| Właściwości | Właściwości reguły alertu łączenia | Właściwości FusionAlertRuleProperties |
Właściwości FusionAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg (wymagany) |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
GrupowanieKonfiguracja
| Nazwa | Opis | Wartość |
|---|---|---|
| Włączone | Włączone grupowanie | bool (wymagane) |
| groupByAlertDetails (Szczegóły Alertu) | Lista szczegółów alertu do grupowania według (podczas dopasowywaniaMethod jest zaznaczona) | Tablica ciągów zawierająca dowolną z: "DisplayName" "Ważność" |
| groupByCustomDetails (Szczegóły grupy) | Lista niestandardowych kluczy szczegółów do grupowania (podczas dopasowywaniaMethod jest zaznaczona). Mogą być używane tylko klucze zdefiniowane w bieżącej regule alertu. | ciąg znakowy[] |
| groupByEntities (Jednostki grupyByEntities) | Lista typów jednostek do grupowania (w przypadku dopasowaniaMethod to Selected). Mogą być używane tylko jednostki zdefiniowane w bieżącej regule alertu. | Tablica ciągów zawierająca dowolną z: "Konto" "AzureResource" "CloudApplication" "DNS" "Plik" "FileHash" "Host" "IP" "Skrzynka pocztowa" "MailCluster" "MailMessage" "Złośliwe oprogramowanie" "Proces" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "Adres URL" |
| lookbackCzas trwania | Ogranicz grupę do alertów utworzonych w czasie trwania wyszukiwania (w formacie czasu trwania ISO 8601) | ciąg (wymagany) |
| matchingMethod (metoda dopasowania) | Grupowanie pasującej metody. Gdy metoda jest wybrana co najmniej jedna z grupByEntities, grupaByAlertDetails, należy podać grupęByCustomDetails i nie być pusta. | "AllEntities" "AnyAlert" "Selected" (wymagane) |
| reopenClosedIncident (incydent reopen) | Ponowne otwieranie zamkniętych zdarzeń pasujących | bool (wymagane) |
IncidentConfiguration (konfiguracja incydentu)
| Nazwa | Opis | Wartość |
|---|---|---|
| createIncident (Zdarzenie Utworzone) | Tworzenie zdarzeń na podstawie alertów wyzwalanych przez tę regułę analizy | bool (wymagane) |
| grupowanieKonfiguracja | Ustawianie sposobu grupowania alertów wyzwalanych przez tę regułę analizy w zdarzenia | GrupowanieKonfiguracja |
MicrosoftSecurityIncidentCreationAlertRule
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "MicrosoftSecurityIncidentCreation" (wymagane) |
| Właściwości | Właściwości reguły MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg |
| opis | Opis reguły alertu. | ciąg |
| nazwa wyświetlana | Nazwa wyświetlana alertów utworzonych przez tę regułę alertu. | ciąg (wymagany) |
| displayNamesExcludeFilter | displayName alertów, w których przypadki nie zostaną wygenerowane | ciąg znakowy[] |
| displayNamesFilter (Filtr wyświetlanych nazw) | displayName alertów, w których będą generowane przypadki | ciąg znakowy[] |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
| Filtr produktów | ProductName alertów, w których będą generowane przypadki | "Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center for IoT" "Azure Security Center" "Microsoft Cloud App Security" (wymagane) |
| ważnośćFiltr | ważność alertów, w których będą generowane przypadki | Tablica ciągów zawierająca dowolną z: "Wysoki" "Informacyjny" "Niski" "Średni" |
ScheduledAlertRule (Zaplanowana reguła alertu)
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "Zaplanowane" (wymagane) |
| Właściwości | Właściwości reguły zaplanowanego alertu | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Nazwa | Opis | Wartość |
|---|
ScheduledAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertDetailsOverride (alertSzczegółyPrzesłoń) | Ustawienia przesłonięcia szczegółów alertu | AlertDetailsOverride |
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg |
| customDetails (Szczegóły Standardu) | Słownik par klucz-wartość ciągu kolumn do dołączenia do alertu | ScheduledAlertRuleCommonPropertiesCustomDetails |
| opis | Opis reguły alertu. | ciąg |
| nazwa wyświetlana | Nazwa wyświetlana alertów utworzonych przez tę regułę alertu. | ciąg (wymagany) |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
| entityMappings (Identyfikatory jednostek) | Tablica mapowań jednostek reguły alertu | Mapowanie jednostek[] |
| eventGroupingSettings (Ustawienia wydarzenia) | Ustawienia grupowania zdarzeń. | EventGroupingSettings |
| incidentConfiguration (konfiguracja incydentu) | Ustawienia zdarzeń utworzonych na podstawie alertów wyzwalanych przez tę regułę analizy | IncidentConfiguration (konfiguracja incydentu) |
| kwerenda | Zapytanie, które tworzy alerty dla tej reguły. | ciąg |
| queryFrequency (częstotliwość zapytania) | Częstotliwość (w formacie czasu trwania ISO 8601) dla tej reguły alertu do uruchomienia. | ciąg |
| Okres_zapytania | Okres (w formacie czasu trwania ISO 8601), na który patrzy ta reguła alertu. | ciąg |
| dotkliwość | Ważność alertów utworzonych przez tę regułę alertu. | "Wysoki" "Informacyjny" "Niski" "Średni" |
| suppressionDuration | Pomijanie (w formacie czasu trwania ISO 8601) będzie czekać od czasu ostatniego wyzwolenia tej reguły alertu. | ciąg (wymagany) |
| suppressionEnabled (Wyłączono tłumienie) | Określa, czy pomijanie tej reguły alertu jest włączone, czy wyłączone. | bool (wymagane) |
| taktyka | Taktyka reguły alertu | Tablica ciągów zawierająca dowolną z: "Kolekcja" "CommandAndControl" "CredentialAccess" "DefenseEvasion" "Odnajdywanie" "Wykonanie" "Eksfiltracja" "Wpływ" "ImpairProcessControl" "HamujResponseFunction" "InitialAccess" "LateralMovement" "Trwałość" "PreAttack" "PrivilegeEscalation" "Rekonesans" "ResourceDevelopment" |
| Technik | Techniki reguły alertu | ciąg znakowy[] |
| templateVersion (wersja szablonu) | Wersja szablonu reguły alertu użyta do utworzenia tej reguły — w formacie <a.b.c.c>, gdzie wszystkie są liczbami, na przykład 0 <1.0.2> | ciąg |
| triggerOperator (operator wyzwalacza) | Operacja względem progu wyzwalającego regułę alertu. | "Równe" "GreaterThan" "LessThan" "NotEqual" |
| triggerThreshold (próg wyzwalacza) | Próg wyzwala tę regułę alertu. | Int |
Przykłady użycia
Szablony szybkiego startu platformy Azure
Następujące szablony szybkiego startu platformy Azure wdrożyć ten typ zasobu.
| Szablon | Opis |
|---|---|
|
Tworzy nową regułę zaplanowanej analizy usługi Microsoft Sentinel wdrażanie  |
W tym przykładzie pokazano, jak utworzyć nową regułę analizy zaplanowanej w usłudze Microsoft Sentinel |
Definicja zasobu narzędzia Terraform (dostawcy AzAPI)
Typ zasobu alertRules można wdrożyć przy użyciu operacji docelowych:
Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.
Format zasobu
Aby utworzyć zasób Microsoft.SecurityInsights/alertRules, dodaj następujący program Terraform do szablonu.
resource "azapi_resource" "symbolicname" {
etag = "string"
name = "string"
kind = "string"
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Obiekty Microsoft.SecurityInsights/alertRules
Ustaw właściwość typu
W przypadku
{
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
}
W przypadku MicrosoftSecurityIncidentCreationużyj:
{
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
}
W przypadku Zaplanowaneużyj:
{
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {
{customized property} = "string"
}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
}
Wartości właściwości
Microsoft.SecurityInsights/alertRules
| Nazwa | Opis | Wartość |
|---|---|---|
| Znacznik ETAG | Etag zasobu platformy Azure | ciąg |
| rodzaj | Ustaw wartość "Fusion" dla typu FusionAlertRule. Ustaw wartość "MicrosoftSecurityIncidentCreation" dla typu MicrosoftSecurityIncidentCreationAlertRule. Ustaw wartość "Scheduled" dla typu ScheduledAlertRule. | "Fusion" "MicrosoftSecurityIncidentCreation" "Zaplanowane" (wymagane) |
| nazwa | Nazwa zasobu | ciąg (wymagany) |
| parent_id (identyfikator rodzica) | Identyfikator zasobu, do który ma być stosowany ten zasób rozszerzenia. | ciąg (wymagany) |
| typ | Typ zasobu | "Microsoft.SecurityInsights/alertRules@2025-09-01" |
AlertDetailsOverride
| Nazwa | Opis | Wartość |
|---|---|---|
| alertDescriptionFormat (format alertu) | format zawierający nazwy kolumn, aby zastąpić opis alertu | ciąg |
| alertDisplayNameFormat | format zawierający nazwy kolumn, aby zastąpić nazwę alertu | ciąg |
| alertDynamicProperties (właściwości alertDynamic) | Lista dodatkowych właściwości dynamicznych do zastąpienia | Mapowanie właściwości alertów[] |
| alertYeverityColumnName | nazwa kolumny do podjęcia ważności alertu z | ciąg |
| alertTacticsColumnName (nazwa_kolumny) | nazwa kolumny do podjęcia taktyki alertu z | ciąg |
Mapowanie właściwości alertów
| Nazwa | Opis | Wartość |
|---|---|---|
| alertWłaściwości | Właściwość alertu w wersji 3 | "AlertLink" "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" "ProductComponentName" "ProductName" "ProviderName" "RemediationSteps" "Techniki" |
| wartość | nazwa kolumny, która ma być używana do zastąpienia tej właściwości | ciąg |
MapowanieEntytetu
| Nazwa | Opis | Wartość |
|---|---|---|
| entityType (typ jednostki) | Typ V3 zamapowanej jednostki | "Konto" "AzureResource" "CloudApplication" "DNS" "Plik" "FileHash" "Host" "IP" "Skrzynka pocztowa" "MailCluster" "MailMessage" "Złośliwe oprogramowanie" "Proces" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "Adres URL" |
| fieldMappings (polOdwzorowania) | tablica mapowań pól dla danego mapowania jednostki | Mapowanie pola[] |
EventGroupingSettings
| Nazwa | Opis | Wartość |
|---|---|---|
| aggregationKind (rodzaj agregacji) | Rodzaje agregacji grupowania zdarzeń | "AlertPerResult" "SingleAlert" |
Mapowanie pól
| Nazwa | Opis | Wartość |
|---|---|---|
| nazwa_kolumny | nazwa kolumny, która ma zostać zamapowana na identyfikator | ciąg |
| identyfikator | identyfikator V3 jednostki | ciąg |
Reguła FusionAlertRule
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "Fusion" (wymagane) |
| Właściwości | Właściwości reguły alertu łączenia | Właściwości FusionAlertRuleProperties |
Właściwości FusionAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg (wymagany) |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
GrupowanieKonfiguracja
| Nazwa | Opis | Wartość |
|---|---|---|
| Włączone | Włączone grupowanie | bool (wymagane) |
| groupByAlertDetails (Szczegóły Alertu) | Lista szczegółów alertu do grupowania według (podczas dopasowywaniaMethod jest zaznaczona) | Tablica ciągów zawierająca dowolną z: "DisplayName" "Ważność" |
| groupByCustomDetails (Szczegóły grupy) | Lista niestandardowych kluczy szczegółów do grupowania (podczas dopasowywaniaMethod jest zaznaczona). Mogą być używane tylko klucze zdefiniowane w bieżącej regule alertu. | ciąg znakowy[] |
| groupByEntities (Jednostki grupyByEntities) | Lista typów jednostek do grupowania (w przypadku dopasowaniaMethod to Selected). Mogą być używane tylko jednostki zdefiniowane w bieżącej regule alertu. | Tablica ciągów zawierająca dowolną z: "Konto" "AzureResource" "CloudApplication" "DNS" "Plik" "FileHash" "Host" "IP" "Skrzynka pocztowa" "MailCluster" "MailMessage" "Złośliwe oprogramowanie" "Proces" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "Adres URL" |
| lookbackCzas trwania | Ogranicz grupę do alertów utworzonych w czasie trwania wyszukiwania (w formacie czasu trwania ISO 8601) | ciąg (wymagany) |
| matchingMethod (metoda dopasowania) | Grupowanie pasującej metody. Gdy metoda jest wybrana co najmniej jedna z grupByEntities, grupaByAlertDetails, należy podać grupęByCustomDetails i nie być pusta. | "AllEntities" "AnyAlert" "Selected" (wymagane) |
| reopenClosedIncident (incydent reopen) | Ponowne otwieranie zamkniętych zdarzeń pasujących | bool (wymagane) |
IncidentConfiguration (konfiguracja incydentu)
| Nazwa | Opis | Wartość |
|---|---|---|
| createIncident (Zdarzenie Utworzone) | Tworzenie zdarzeń na podstawie alertów wyzwalanych przez tę regułę analizy | bool (wymagane) |
| grupowanieKonfiguracja | Ustawianie sposobu grupowania alertów wyzwalanych przez tę regułę analizy w zdarzenia | GrupowanieKonfiguracja |
MicrosoftSecurityIncidentCreationAlertRule
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "MicrosoftSecurityIncidentCreation" (wymagane) |
| Właściwości | Właściwości reguły MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg |
| opis | Opis reguły alertu. | ciąg |
| nazwa wyświetlana | Nazwa wyświetlana alertów utworzonych przez tę regułę alertu. | ciąg (wymagany) |
| displayNamesExcludeFilter | displayName alertów, w których przypadki nie zostaną wygenerowane | ciąg znakowy[] |
| displayNamesFilter (Filtr wyświetlanych nazw) | displayName alertów, w których będą generowane przypadki | ciąg znakowy[] |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
| Filtr produktów | ProductName alertów, w których będą generowane przypadki | "Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center for IoT" "Azure Security Center" "Microsoft Cloud App Security" (wymagane) |
| ważnośćFiltr | ważność alertów, w których będą generowane przypadki | Tablica ciągów zawierająca dowolną z: "Wysoki" "Informacyjny" "Niski" "Średni" |
ScheduledAlertRule (Zaplanowana reguła alertu)
| Nazwa | Opis | Wartość |
|---|---|---|
| rodzaj | Rodzaj reguły alertu | "Zaplanowane" (wymagane) |
| Właściwości | Właściwości reguły zaplanowanego alertu | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Nazwa | Opis | Wartość |
|---|
ScheduledAlertRuleProperties
| Nazwa | Opis | Wartość |
|---|---|---|
| alertDetailsOverride (alertSzczegółyPrzesłoń) | Ustawienia przesłonięcia szczegółów alertu | AlertDetailsOverride |
| alertRuleTemplateName (nazwa szablonu) alertRuleTemplateName (nazwa szablonu | Nazwa szablonu reguły alertu użytego do utworzenia tej reguły. | ciąg |
| customDetails (Szczegóły Standardu) | Słownik par klucz-wartość ciągu kolumn do dołączenia do alertu | ScheduledAlertRuleCommonPropertiesCustomDetails |
| opis | Opis reguły alertu. | ciąg |
| nazwa wyświetlana | Nazwa wyświetlana alertów utworzonych przez tę regułę alertu. | ciąg (wymagany) |
| Włączone | Określa, czy ta reguła alertu jest włączona, czy wyłączona. | bool (wymagane) |
| entityMappings (Identyfikatory jednostek) | Tablica mapowań jednostek reguły alertu | Mapowanie jednostek[] |
| eventGroupingSettings (Ustawienia wydarzenia) | Ustawienia grupowania zdarzeń. | EventGroupingSettings |
| incidentConfiguration (konfiguracja incydentu) | Ustawienia zdarzeń utworzonych na podstawie alertów wyzwalanych przez tę regułę analizy | IncidentConfiguration (konfiguracja incydentu) |
| kwerenda | Zapytanie, które tworzy alerty dla tej reguły. | ciąg |
| queryFrequency (częstotliwość zapytania) | Częstotliwość (w formacie czasu trwania ISO 8601) dla tej reguły alertu do uruchomienia. | ciąg |
| Okres_zapytania | Okres (w formacie czasu trwania ISO 8601), na który patrzy ta reguła alertu. | ciąg |
| dotkliwość | Ważność alertów utworzonych przez tę regułę alertu. | "Wysoki" "Informacyjny" "Niski" "Średni" |
| suppressionDuration | Pomijanie (w formacie czasu trwania ISO 8601) będzie czekać od czasu ostatniego wyzwolenia tej reguły alertu. | ciąg (wymagany) |
| suppressionEnabled (Wyłączono tłumienie) | Określa, czy pomijanie tej reguły alertu jest włączone, czy wyłączone. | bool (wymagane) |
| taktyka | Taktyka reguły alertu | Tablica ciągów zawierająca dowolną z: "Kolekcja" "CommandAndControl" "CredentialAccess" "DefenseEvasion" "Odnajdywanie" "Wykonanie" "Eksfiltracja" "Wpływ" "ImpairProcessControl" "HamujResponseFunction" "InitialAccess" "LateralMovement" "Trwałość" "PreAttack" "PrivilegeEscalation" "Rekonesans" "ResourceDevelopment" |
| Technik | Techniki reguły alertu | ciąg znakowy[] |
| templateVersion (wersja szablonu) | Wersja szablonu reguły alertu użyta do utworzenia tej reguły — w formacie <a.b.c.c>, gdzie wszystkie są liczbami, na przykład 0 <1.0.2> | ciąg |
| triggerOperator (operator wyzwalacza) | Operacja względem progu wyzwalającego regułę alertu. | "Równe" "GreaterThan" "LessThan" "NotEqual" |
| triggerThreshold (próg wyzwalacza) | Próg wyzwala tę regułę alertu. | Int |
Przykłady użycia
Przykłady programu Terraform
Podstawowy przykład wdrażania reguły alertu usługi Sentinel.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "workspace" {
type = "Microsoft.OperationalInsights/workspaces@2022-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
features = {
disableLocalAuth = false
enableLogAccessUsingOnlyResourcePermissions = true
}
publicNetworkAccessForIngestion = "Enabled"
publicNetworkAccessForQuery = "Enabled"
retentionInDays = 30
sku = {
name = "PerGB2018"
}
workspaceCapping = {
dailyQuotaGb = -1
}
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
resource "azapi_resource" "onboardingState" {
type = "Microsoft.SecurityInsights/onboardingStates@2023-06-01-preview"
parent_id = azapi_resource.workspace.id
name = "default"
body = {
properties = {
customerManagedKey = false
}
}
}
resource "azapi_resource" "alertRule" {
type = "Microsoft.SecurityInsights/alertRules@2022-10-01-preview"
parent_id = azapi_resource.workspace.id
name = var.resource_name
body = {
kind = "NRT"
properties = {
description = ""
displayName = "Some Rule"
enabled = true
query = "AzureActivity |\n where OperationName == \"Create or Update Virtual Machine\" or OperationName ==\"Create Deployment\" |\n where ActivityStatus == \"Succeeded\" |\n make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller\n"
severity = "High"
suppressionDuration = "PT5H"
suppressionEnabled = false
tactics = [
]
techniques = [
]
}
}
schema_validation_enabled = false
response_export_values = ["*"]
depends_on = [azapi_resource.onboardingState]
}