Criar deteçãoRule
Espaço de nomes: microsoft.graph.security
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Criar uma regra de deteção personalizada. Com as deteções personalizadas, pode monitorizar e responder proativamente a vários eventos e estados do sistema, incluindo atividades suspeitas de violação e recursos configurados incorretamente na rede da organização. As regras de deteção personalizadas, escritas na linguagem de consulta Kusto (KQL), acionam automaticamente alertas e ações de resposta assim que existirem eventos que correspondam às consultas KQL.
Esta API está disponível nas seguintes implementações de cloud nacionais.
| Serviço global | US Government L4 | US Government L5 (DOD) | China operada pela 21Vianet |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
Permissões
Escolha a permissão ou permissões marcadas como menos privilegiadas para esta API. Utilize uma permissão ou permissões com privilégios mais elevados apenas se a sua aplicação o exigir. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.
| Tipo de permissão | Permissões com menos privilégios | Permissões com privilégios superiores |
|---|---|---|
| Delegado (conta corporativa ou de estudante) | CustomDetection.ReadWrite.All | Indisponível. |
| Delegado (conta pessoal da Microsoft) | Sem suporte. | Sem suporte. |
| Application | CustomDetection.ReadWrite.All | Indisponível. |
Solicitação HTTP
POST /security/rules/detectionRules
Cabeçalhos de solicitação
| Nome | Descrição |
|---|---|
| Autorização | {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização. |
| Content-Type | application/json. Obrigatório. |
Corpo da solicitação
No corpo do pedido, forneça um microsoft.graph.security.detectionRule. Alguns campos de metadados são desnecessários e são ignorados, como "createdBy" e "lastModifiedDateTime".
Resposta
Se for bem-sucedido, este método devolve um 201 Created código de resposta e um objeto microsoft.graph.security.detectionRule no corpo da resposta.
Exemplos
Solicitação
O exemplo a seguir mostra uma solicitação.
POST https://graph.microsoft.com/beta/security/rules/detectionRules
Content-Type: application/json
{
"displayName": "Some rule name",
"isEnabled": true,
"queryCondition": {
"queryText": "DeviceProcessEvents | take 1"
},
"schedule": {
"period": "12H"
},
"detectionAction": {
"alertTemplate": {
"title": "Some alert title",
"description": "Some alert description",
"severity": "medium",
"category": "Execution",
"recommendedActions": null,
"mitreTechniques": [],
"impactedAssets": [
{
"@odata.type": "#microsoft.graph.security.impactedDeviceAsset",
"identifier": "deviceId"
}
]
},
"organizationalScope": null,
"responseActions": [
{
"@odata.type": "#microsoft.graph.security.isolateDeviceResponseAction",
"identifier": "deviceId",
"isolationType": "full"
}
]
}
}
Resposta
O exemplo a seguir mostra a resposta.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.security.detectionRule",
"id": "35079",
"displayName": "Some rule name",
"isEnabled": true,
"createdBy": "MichaelMekler@winatptestlic06.ccsctp.net",
"createdDateTime": "2023-06-25T09:37:28.6149005Z",
"lastModifiedDateTime": "2023-06-25T09:37:28.6149005Z",
"lastModifiedBy": "MichaelMekler@winatptestlic06.ccsctp.net",
"detectorId": "67aa92a1-b04b-4f2a-a223-236968a3da96",
"queryCondition": {
"queryText": "DeviceProcessEvents | take 1",
"lastModifiedDateTime": null
},
"schedule": {
"period": "12H",
"nextRunDateTime": "2023-06-25T09:37:28.6149005Z"
},
"lastRunDetails": {
"lastRunDateTime": null,
"status": null,
"failureReason": null,
"errorCode": null
},
"detectionAction": {
"alertTemplate": {
"title": "Some alert title",
"description": "Some alert description",
"severity": "medium",
"category": "Execution",
"recommendedActions": null,
"mitreTechniques": [],
"impactedAssets": [
{
"@odata.type": "#microsoft.graph.security.impactedDeviceAsset",
"identifier": "deviceId"
}
]
},
"organizationalScope": null,
"responseActions": [
{
"@odata.type": "#microsoft.graph.security.isolateDeviceResponseAction",
"isolationType": "full",
"identifier": "deviceId"
}
]
}
}