Оповещение Microsoft.SecurityInsightsRules 2021-09-01-preview
- Актуальная
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01 — предварительная версия
- 2021-09-01-preview
- 2021-03-01-preview
- 01.01.2020
- 01.01.2019
Определение ресурса Bicep
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в Bicep.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2021-09-01-preview' = {
name: 'string'
kind: 'string'
scope: resourceSymbolicName
etag: 'string'
// For remaining properties, see alertRules objects
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Для MicrosoftSecurityIncidentCreation используйте:
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
Для MLBehaviorAnalytics используйте:
kind: 'MLBehaviorAnalytics'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Для NRT используйте:
kind: 'NRT'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
templateVersion: 'string'
}
Для параметра Scheduled используйте:
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
Для ThreatIntelligence используйте:
kind: 'ThreatIntelligence'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Значения свойств
alertRules
| Имя | Описание | Значение |
|---|---|---|
| name | имя ресурса. | string (обязательно) |
| kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
| область | Используется при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для Bicep задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения. |
| etag | Etag ресурса Azure | строка |
FusionAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | Fusion (обязательно) |
| properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться обращения; | string[] |
| displayNamesFilter | displayNames оповещений, на которых будут создаваться обращения; | string[] |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| productFilter | ProductName оповещений, на котором будут создаваться обращения. | Защита идентификации Azure Active Directory "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" "Центр безопасности Azure" Microsoft Cloud App Security "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
| severitiesFilter | серьезности оповещений, на основе которых будут создаваться обращения; | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
MLBehaviorAnalyticsAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | MLBehaviorAnalytics (обязательно) |
| properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "NRT" (обязательно) |
| properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов для подключения к оповещению | object |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation |
| templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
| Имя | Описание | Значение |
|---|---|---|
| alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
| alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
| alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
| alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
EntityMapping
| Имя | Описание | Значение |
|---|---|---|
| entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
| fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с идентификатором; | строка |
| идентификатор | идентификатор сущности версии 3 | строка |
IncidentConfiguration
| Имя | Описание | Значение |
|---|---|---|
| createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
| Имя | Описание | Значение |
|---|---|---|
| Включено | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: DisplayName "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
| groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
| lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
| matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | 'AllEntities' 'AnyAlert' "Выбрано" (обязательно) |
| reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ScheduledAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
| properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| queryFrequency | Частота выполнения этого правила генерации оповещений (в формате длительности ISO 8601). | строка |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation |
| templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Equal" 'GreaterThan' 'LessThan' 'NotEqual' |
| triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
EventGroupingSettings
| Имя | Описание | Значение |
|---|---|---|
| aggregationKind | Типы агрегирования событий | AlertPerResult 'SingleAlert' |
ThreatIntelligenceAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | ThreatIntelligence (обязательно) |
| properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
Создает правило запланированной аналитики Microsoft Sentinel |
В этом примере показано, как создать новое правило аналитики по расписанию в Microsoft Sentinel |
Определение ресурса шаблона ARM
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в шаблонах ARM.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.SecurityInsights/alertRules",
"apiVersion": "2021-09-01-preview",
"name": "string",
"kind": "string",
"scope": "string",
"etag": "string",
// For remaining properties, see alertRules objects
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Для MicrosoftSecurityIncidentCreation используйте:
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
Для MLBehaviorAnalytics используйте:
"kind": "MLBehaviorAnalytics",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Для NRT используйте:
"kind": "NRT",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"templateVersion": "string"
}
Для параметра Scheduled используйте:
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
Для ThreatIntelligence используйте:
"kind": "ThreatIntelligence",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Значения свойств
alertRules
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | Microsoft.SecurityInsights/alertRules |
| версия_API | Версия API ресурсов | '2021-09-01-preview' |
| name | имя ресурса. | string (обязательно) |
| kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
| область | Используется при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для JSON задайте полное имя ресурса, к который будет применяться ресурс расширения . |
| etag | Etag ресурса Azure | строка |
FusionAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | Fusion (обязательно) |
| properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться случаи | string[] |
| displayNamesFilter | отображаемые имена оповещений, на которых будут создаваться случаи | string[] |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| productFilter | ProductName оповещений, для которого будут создаваться обращения. | Защита идентификации Azure Active Directory "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" 'Центр безопасности Azure' Microsoft Cloud App Security "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
| SeveritiesFilter | уровни серьезности оповещений, по которым будут создаваться обращения; | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
MLBehaviorAnalyticsAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "MLBehaviorAnalytics" (обязательно) |
| properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "NRT" (обязательно) |
| properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation |
| templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
| Имя | Описание | Значение |
|---|---|---|
| alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
| alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
| alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
| alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
EntityMapping
| Имя | Описание | Значение |
|---|---|---|
| entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
| fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с идентификатором; | строка |
| идентификатор | идентификатор сущности версии 3 | строка |
IncidentConfiguration
| Имя | Описание | Значение |
|---|---|---|
| createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
| Имя | Описание | Значение |
|---|---|---|
| Включено | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: DisplayName "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
| groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
| lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
| matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | 'AllEntities' 'AnyAlert' "Выбрано" (обязательно) |
| reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ScheduledAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
| properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | объект |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| queryFrequency | Частота (в формате длительности ISO 8601) для выполнения этого правила генерации оповещений. | строка |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" CommandAndControl CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" InitialAccess 'LateralMovement' "Сохраняемость" PreAttack 'PrivilegeEscalation' |
| TemplateVersion | Версия шаблона правила генерации оповещений, используемого для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Равно" 'GreaterThan' "LessThan" 'NotEqual' |
| triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
EventGroupingSettings
| Имя | Описание | Значение |
|---|---|---|
| aggregationKind | Типы агрегирования событий | AlertPerResult 'SingleAlert' |
ThreatIntelligenceAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | ThreatIntelligence (обязательно) |
| properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
| Создает правило запланированной аналитики Microsoft Sentinel |
В этом примере показано, как создать новое правило аналитики по расписанию в Microsoft Sentinel |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
parent_id Используйте свойство этого ресурса, чтобы задать область для этого ресурса.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующую terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/alertRules@2021-09-01-preview"
name = "string"
parent_id = "string"
// For remaining properties, see alertRules objects
body = jsonencode({
kind = "string"
etag = "string"
})
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Для MicrosoftSecurityIncidentCreation используйте:
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
Для MLBehaviorAnalytics используйте:
kind = "MLBehaviorAnalytics"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Для NRT используйте:
kind = "NRT"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
templateVersion = "string"
}
Для параметра Scheduled используйте:
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
Для ThreatIntelligence используйте:
kind = "ThreatIntelligence"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Значения свойств
alertRules
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | "Microsoft.SecurityInsights/alertRules@2021-09-01-preview" |
| name | имя ресурса. | строка (обязательно) |
| parent_id | Идентификатор ресурса, к который применяется этот ресурс расширения. | строка (обязательно) |
| kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
| etag | Etag ресурса Azure | строка |
FusionAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | Fusion (обязательно) |
| properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться обращения; | string[] |
| displayNamesFilter | displayNames оповещений, на которых будут создаваться обращения; | string[] |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| productFilter | ProductName оповещений, на котором будут создаваться обращения. | "Защита идентификации Azure Active Directory" "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" "Центр безопасности Azure" "Microsoft Cloud App Security" "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
| SeveritiesFilter | уровни серьезности оповещений, по которым будут создаваться обращения; | Массив строк, содержащий любой из: "High" "Информационный" "Low" "Средний" |
MLBehaviorAnalyticsAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "MLBehaviorAnalytics" (обязательно) |
| properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "NRT" (обязательно) |
| properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | объект |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "High" "Информационный" "Low" "Средний" |
| подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" "CommandAndControl" CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Кража" "Влияние" "InitialAccess" "LateralMovement" "Сохраняемость" "PreAttack" "PrivilegeEscalation" |
| templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
| Имя | Описание | Значение |
|---|---|---|
| alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
| alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения. | строка |
| alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
| alertTacticsColumnName | имя столбца для получения тактики генерации оповещений | строка |
EntityMapping
| Имя | Описание | Значение |
|---|---|---|
| entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" "AzureResource" CloudApplication "DNS" "Файл" "FileHash" "Узел" "IP" "MailCluster" MailMessage "Почтовый ящик" "Вредоносные программы" "Процесс" RegistryKey RegistryValue "SecurityGroup" "SubmissionMail" "URL-адрес" |
| fieldMappings | Массив сопоставлений полей для сопоставления заданной сущности | FieldMapping[] |
FieldMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с идентификатором; | строка |
| идентификатор | идентификатор сущности версии 3 | строка |
IncidentConfiguration
| Имя | Описание | Значение |
|---|---|---|
| createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
| Имя | Описание | Значение |
|---|---|---|
| Включено | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: "DisplayName" "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (если выбран параметр matchingMethod). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
| groupByEntities | Список типов сущностей для группировки (если выбран параметр matchingMethod). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" "AzureResource" CloudApplication "DNS" "Файл" "FileHash" "Узел" "IP" "MailCluster" MailMessage "Почтовый ящик" "Вредоносные программы" "Процесс" RegistryKey RegistryValue "SecurityGroup" "SubmissionMail" "URL-адрес" |
| lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности просмотра (в формате длительности ISO 8601) | строка (обязательно) |
| matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | "AllEntities" "AnyAlert" "Выбрано" (обязательно) |
| reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ScheduledAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
| properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов для подключения к оповещению | object |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| queryFrequency | Частота (в формате длительности ISO 8601) для выполнения этого правила генерации оповещений. | строка |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "High" "Информационный" "Low" "Средний" |
| подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" "CommandAndControl" CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Кража" "Влияние" InitialAccess "LateralMovement" "Сохраняемость" "PreAttack" PrivilegeEscalation |
| TemplateVersion | Версия шаблона правила генерации оповещений, используемого для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Равно" "GreaterThan" "LessThan" "NotEqual" |
| triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
EventGroupingSettings
| Имя | Описание | Значение |
|---|---|---|
| aggregationKind | Типы агрегирования событий | AlertPerResult "SingleAlert" |
ThreatIntelligenceAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | ThreatIntelligence (обязательно) |
| properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |