Microsoft.SecurityInsights automationRules 2021-10-01
- Актуальная
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01 — предварительная версия
- 2021-09-01-preview
- 2019-01-01-preview
Определение ресурса Bicep
Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в Bicep.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.SecurityInsights/automationRules@2021-10-01' = {
name: 'string'
scope: resourceSymbolicName
etag: 'string'
properties: {
actions: [
{
order: int
actionType: 'string'
// For remaining properties, see AutomationRuleAction objects
}
]
displayName: 'string'
order: int
triggeringLogic: {
conditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc: 'string'
isEnabled: bool
triggersOn: 'Incidents'
triggersWhen: 'Created'
}
}
}
Объекты AutomationRuleAction
Задайте свойство actionType , чтобы указать тип объекта .
Для ModifyProperties используйте:
actionType: 'ModifyProperties'
actionConfiguration: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
labels: [
{
labelName: 'string'
}
]
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
ownerType: 'string'
userPrincipalName: 'string'
}
severity: 'string'
status: 'string'
}
Для RunPlaybook используйте:
actionType: 'RunPlaybook'
actionConfiguration: {
logicAppResourceId: 'string'
tenantId: 'string'
}
Объекты AutomationRuleCondition
Задайте свойство conditionType , чтобы указать тип объекта .
Для свойства используйте:
conditionType: 'Property'
conditionProperties: {
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
Значения свойств
automationRules
| Имя | Описание | Значение |
|---|---|---|
| name | имя ресурса. | строка (обязательно) |
| область | Используйте при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для Bicep задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения. |
| etag | Etag ресурса Azure | строка |
| properties | Свойства правила автоматизации | AutomationRuleProperties (обязательно) |
AutomationRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| actions | Действия, выполняемые при активации правила автоматизации | AutomationRuleAction[] (обязательно) |
| displayName | Отображаемое имя правила автоматизации | строка (обязательно) |
| порядок | Порядок выполнения правила автоматизации | int (обязательно) |
| triggeringLogic | Описывает логику активации правила автоматизации. | AutomationRuleTriggeringLogic (обязательно) |
AutomationRuleAction
| Имя | Описание | Значение |
|---|---|---|
| порядок | int (обязательно) | |
| actionType | Установка типа объекта | ModifyProperties RunPlaybook (обязательно) |
AutomationRuleModifyPropertiesAction
| Имя | Описание | Значение |
|---|---|---|
| actionType | Тип действия правила автоматизации | ModifyProperties (обязательно) |
| ActionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
| Имя | Описание | Значение |
|---|---|---|
| классификация; | Причина инцидента была закрыта | 'Доброкачественное позитивное' FalsePositive TruePositive "Не определено" |
| classificationComment | Описывает причину закрытия инцидента | строка |
| classificationReason | Причина классификации инцидента была закрыта | "Неточные Данные" 'IncorrectAlertLogic' "SuspiciousActivity" SuspiciousButExpected |
| метки; | Список меток для добавления в инцидент | IncidentLabel[] |
| владелец | Сведения о пользователе, которому назначен инцидент | IncidentOwnerInfoAutoGenerated |
| severity | Серьезность инцидента | "Высокий" "Информационный" "Низкий" "Средний" |
| status | Состояние инцидента | "Активный" "Закрыто" "Новый" |
IncidentLabel
| Имя | Описание | Значение |
|---|---|---|
| labelName | Имя метки | строка (обязательно) |
IncidentOwnerInfoAutoGenerated
| Имя | Описание | Значение |
|---|---|---|
| assignedTo | Имя пользователя, которому назначен инцидент. | строка |
| Адрес электронной почты пользователя, которому назначен инцидент. | строка | |
| objectId | Идентификатор объекта пользователя, которому назначен инцидент. | строка |
| ownerType | Тип владельца, которому назначен инцидент. | "Группа" "Неизвестно" Пользователь |
| userPrincipalName | Имя участника-пользователя, которому назначен инцидент. | строка |
AutomationRuleRunPlaybookAction
| Имя | Описание | Значение |
|---|---|---|
| actionType | Тип действия правила автоматизации | RunPlaybook (обязательно) |
| ActionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
| Имя | Описание | Значение |
|---|---|---|
| logicAppResourceId | Идентификатор ресурса сборника схем | строка (обязательно) |
| tenantId | Идентификатор клиента ресурса сборника схем | строка |
AutomationRuleTriggeringLogic
| Имя | Описание | Значение |
|---|---|---|
| условия | Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта. | AutomationRuleCondition[] |
| expirationTimeUtc | Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. | строка |
| isEnabled | Определяет, включено или отключено правило автоматизации. | bool (обязательно) |
| triggersOn | "Инциденты" (обязательно) | |
| triggersWhen | "Created" (обязательно) |
AutomationRuleCondition
| Имя | Описание | Значение |
|---|---|---|
| conditionType | Установка типа объекта | Свойство (обязательно) |
PropertyConditionProperties
| Имя | Описание | Значение |
|---|---|---|
| conditionType | Property (обязательный) | |
| conditionProperties | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
| Имя | Описание | Значение |
|---|---|---|
| оператор | "Contains" EndsWith "Равно" NotContains NotEndsWith NotEquals NotStartsWith StartsWith |
|
| propertyName | Свойство для оценки в условии свойства правила автоматизации | AccountAadTenantId AccountAadUserId AccountNTDomain AccountName AccountObjectGuid AccountPUID AccountSid AccountUPNSuffix AlertProductNames AzureResourceResourceId AzureResourceSubscriptionId CloudApplicationAppId CloudApplicationAppName DNSDomainName FileDirectory FileHashValue "Имя_файла" HostAzureID HostNTDomain HostName HostNetBiosName HostOSVersion IPAddress "IncidentDescription" 'IncidentLabel' IncidentProviderName IncidentRelatedAnalyticRuleIds "IncidentSeverity" "IncidentStatus" "IncidentTactics" "IncidentTitle" IoTDeviceId IoTDeviceModel IoTDeviceName IoTDeviceOperatingSystem 'IoTDeviceType' IoTDeviceVendor MailMessageDeliveryAction MailMessageDeliveryLocation MailMessageP1Sender MailMessageP2Sender MailMessageRecipient MailMessageSenderIP MailMessageSubject MailboxDisplayName MailboxPrimaryAddress MailboxUPN MalwareCategory "MalwareName" ProcessCommandLine ProcessId RegistryKey RegistryValueData Url |
| propertyValues | string[] |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
Создание нового правила автоматизации Microsoft Sentinel |
В этом примере показано, как создать новое правило автоматизации в Microsoft Sentinel |
Определение ресурса шаблона ARM
Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в шаблонах ARM.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.SecurityInsights/automationRules",
"apiVersion": "2021-10-01",
"name": "string",
"scope": "string",
"etag": "string",
"properties": {
"actions": [
{
"order": "int",
"actionType": "string"
// For remaining properties, see AutomationRuleAction objects
}
],
"displayName": "string",
"order": "int",
"triggeringLogic": {
"conditions": [
{
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
}
],
"expirationTimeUtc": "string",
"isEnabled": "bool",
"triggersOn": "Incidents",
"triggersWhen": "Created"
}
}
}
Объекты AutomationRuleAction
Задайте свойство actionType , чтобы указать тип объекта .
Для ModifyProperties используйте:
"actionType": "ModifyProperties",
"actionConfiguration": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"labels": [
{
"labelName": "string"
}
],
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"ownerType": "string",
"userPrincipalName": "string"
},
"severity": "string",
"status": "string"
}
Для RunPlaybook используйте:
"actionType": "RunPlaybook",
"actionConfiguration": {
"logicAppResourceId": "string",
"tenantId": "string"
}
Объекты AutomationRuleCondition
Задайте свойство conditionType , чтобы указать тип объекта .
Для свойства используйте:
"conditionType": "Property",
"conditionProperties": {
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
}
Значения свойств
automationRules
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | Microsoft.SecurityInsights/automationRules |
| версия_API | Версия API ресурсов | '2021-10-01' |
| name | имя ресурса. | string (обязательно) |
| область | Используется при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для JSON задайте полное имя ресурса, к который будет применяться ресурс расширения . |
| etag | Etag ресурса Azure | строка |
| properties | Свойства правила автоматизации | AutomationRuleProperties (обязательно) |
AutomationRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| actions | Действия, выполняемые при активации правила автоматизации | AutomationRuleAction[] (обязательно) |
| displayName | Отображаемое имя правила автоматизации | string (обязательно) |
| порядок | Порядок выполнения правила автоматизации | int (обязательно) |
| triggeringLogic | Описывает логику запуска правила автоматизации. | AutomationRuleTriggeringLogic (обязательно) |
AutomationRuleAction
| Имя | Описание | Значение |
|---|---|---|
| порядок | int (обязательно) | |
| actionType | Установка типа объекта | ModifyProperties RunPlaybook (обязательно) |
AutomationRuleModifyPropertiesAction
| Имя | Описание | Значение |
|---|---|---|
| actionType | Тип действия правила автоматизации | ModifyProperties (обязательно) |
| ActionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
| Имя | Описание | Значение |
|---|---|---|
| классификация; | Причина закрытия инцидента | 'BenignPositive' FalsePositive 'TruePositive' "Не определено" |
| classificationComment | Описывает причину закрытия инцидента | строка |
| classificationReason | Причина классификации инцидента была закрыта | "Неточные Данные" 'IncorrectAlertLogic' "SuspiciousActivity" "SuspiciousButExpected" |
| метки; | Список меток для добавления в инцидент | IncidentLabel[] |
| владелец | Сведения о пользователе, которому назначен инцидент | IncidentOwnerInfoAutoGenerated |
| severity | Серьезность инцидента | "Высокий" "Информационный" "Низкий" "Средний" |
| status | Состояние инцидента | "Активный" "Закрыто" "Новый" |
IncidentLabel
| Имя | Описание | Значение |
|---|---|---|
| labelName | Имя метки | string (обязательно) |
IncidentOwnerInfoAutoGenerated
| Имя | Описание | Значение |
|---|---|---|
| assignedTo | Имя пользователя, которому назначен инцидент. | строка |
| Адрес электронной почты пользователя, которому назначен инцидент. | строка | |
| objectId | Идентификатор объекта пользователя, которому назначен инцидент. | строка |
| ownerType | Тип владельца, которому назначен инцидент. | "Группа" "Неизвестно" "Пользователь" |
| userPrincipalName | Имя участника-пользователя пользователя, которому назначен инцидент. | строка |
AutomationRuleRunPlaybookAction
| Имя | Описание | Значение |
|---|---|---|
| actionType | Тип действия правила автоматизации | RunPlaybook (обязательно) |
| ActionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
| Имя | Описание | Значение |
|---|---|---|
| logicAppResourceId | Идентификатор ресурса сборника схем | string (обязательно) |
| tenantId | Идентификатор клиента ресурса сборника схем | строка |
AutomationRuleTriggeringLogic
| Имя | Описание | Значение |
|---|---|---|
| условия | Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта | AutomationRuleCondition[] |
| expirationTimeUtc | Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. | строка |
| isEnabled | Определяет, включено или отключено правило автоматизации. | bool (обязательно) |
| triggersOn | "Инциденты" (обязательно) | |
| triggersWhen | "Создано" (обязательно) |
AutomationRuleCondition
| Имя | Описание | Значение |
|---|---|---|
| conditionType | Установка типа объекта | Свойство (обязательно) |
PropertyConditionProperties
| Имя | Описание | Значение |
|---|---|---|
| conditionType | 'Property' (обязательный) | |
| свойства conditionСвойства | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
| Имя | Описание | Значение |
|---|---|---|
| оператор | "Contains" 'EndsWith' "Equals" NotContains NotEndsWith 'NotEquals' NotStartsWith 'StartsWith' |
|
| propertyName | Свойство для оценки в условии свойства правила автоматизации | AccountAadTenantId AccountAadUserId AccountNTDomain AccountName AccountObjectGuid AccountPUID AccountSid AccountUPNSuffix AlertProductNames AzureResourceResourceId AzureResourceSubscriptionId CloudApplicationAppId CloudApplicationAppName DNSDomainName FileDirectory FileHashValue "Имя_файла" HostAzureID HostNTDomain HostName HostNetBiosName HostOSVersion IPAddress "IncidentDescription" 'IncidentLabel' IncidentProviderName IncidentRelatedAnalyticRuleIds "IncidentSeverity" "IncidentStatus" "IncidentTactics" "IncidentTitle" IoTDeviceId IoTDeviceModel IoTDeviceName IoTDeviceOperatingSystem 'IoTDeviceType' IoTDeviceVendor MailMessageDeliveryAction MailMessageDeliveryLocation MailMessageP1Sender MailMessageP2Sender MailMessageRecipient MailMessageSenderIP MailMessageSubject MailboxDisplayName MailboxPrimaryAddress MailboxUPN MalwareCategory "MalwareName" ProcessCommandLine ProcessId RegistryKey RegistryValueData Url |
| propertyValues | string[] |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
| Создание нового правила автоматизации Microsoft Sentinel |
В этом примере показано, как создать новое правило автоматизации в Microsoft Sentinel |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
parent_id Используйте свойство этого ресурса, чтобы задать область для этого ресурса.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте в шаблон следующую terraform.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/automationRules@2021-10-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
actions = [
{
order = int
actionType = "string"
// For remaining properties, see AutomationRuleAction objects
}
]
displayName = "string"
order = int
triggeringLogic = {
conditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc = "string"
isEnabled = bool
triggersOn = "Incidents"
triggersWhen = "Created"
}
}
etag = "string"
})
}
Объекты AutomationRuleAction
Задайте свойство actionType , чтобы указать тип объекта .
Для ModifyProperties используйте:
actionType = "ModifyProperties"
actionConfiguration = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
labels = [
{
labelName = "string"
}
]
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
ownerType = "string"
userPrincipalName = "string"
}
severity = "string"
status = "string"
}
Для RunPlaybook используйте:
actionType = "RunPlaybook"
actionConfiguration = {
logicAppResourceId = "string"
tenantId = "string"
}
Объекты AutomationRuleCondition
Задайте свойство conditionType , чтобы указать тип объекта .
Для свойства используйте:
conditionType = "Property"
conditionProperties = {
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
Значения свойств
automationRules
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | "Microsoft.SecurityInsights/automationRules@2021-10-01" |
| name | имя ресурса. | строка (обязательно) |
| parent_id | Идентификатор ресурса, к который применяется этот ресурс расширения. | строка (обязательно) |
| etag | Etag ресурса Azure | строка |
| properties | Свойства правила автоматизации | AutomationRuleProperties (обязательно) |
AutomationRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| actions | Действия, выполняемые при активации правила автоматизации | AutomationRuleAction[] (обязательно) |
| displayName | Отображаемое имя правила автоматизации | строка (обязательно) |
| порядок | Порядок выполнения правила автоматизации | int (обязательно) |
| triggeringLogic | Описывает логику активации правила автоматизации. | AutomationRuleTriggeringLogic (обязательно) |
AutomationRuleAction
| Имя | Описание | Значение |
|---|---|---|
| порядок | int (обязательно) | |
| actionType | Установка типа объекта | ModifyProperties RunPlaybook (обязательно) |
AutomationRuleModifyPropertiesAction
| Имя | Описание | Значение |
|---|---|---|
| actionType | Тип действия правила автоматизации | "ModifyProperties" (обязательно) |
| ActionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
| Имя | Описание | Значение |
|---|---|---|
| классификация; | Причина закрытия инцидента | "BenignPositive" "FalsePositive" "TruePositive" "Не определено" |
| classificationComment | Описывает причину закрытия инцидента | строка |
| classificationReason | Причина классификации инцидента была закрыта | "Неточные Данные" "IncorrectAlertLogic" "SuspiciousActivity" "SuspiciousButExpected" |
| метки; | Список меток для добавления в инцидент | IncidentLabel[] |
| владелец | Сведения о пользователе, которому назначен инцидент | IncidentOwnerInfoAutoGenerated |
| severity | Серьезность инцидента | "High" "Информационный" "Low" "Средний" |
| status | Состояние инцидента | "Активный" "Закрыто" "Новый" |
IncidentLabel
| Имя | Описание | Значение |
|---|---|---|
| labelName | Имя метки | string (обязательно) |
IncidentOwnerInfoAutoGenerated
| Имя | Описание | Значение |
|---|---|---|
| assignedTo | Имя пользователя, которому назначен инцидент. | строка |
| Адрес электронной почты пользователя, которому назначен инцидент. | строка | |
| objectId | Идентификатор объекта пользователя, которому назначен инцидент. | строка |
| ownerType | Тип владельца, которому назначен инцидент. | "Группа" "Неизвестно" "Пользователь". |
| userPrincipalName | Имя участника-пользователя пользователя, которому назначен инцидент. | строка |
AutomationRuleRunPlaybookAction
| Имя | Описание | Значение |
|---|---|---|
| actionType | Тип действия правила автоматизации | RunPlaybook (обязательно) |
| ActionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
| Имя | Описание | Значение |
|---|---|---|
| logicAppResourceId | Идентификатор ресурса сборника схем | string (обязательно) |
| tenantId | Идентификатор клиента ресурса сборника схем | строка |
AutomationRuleTriggeringLogic
| Имя | Описание | Значение |
|---|---|---|
| условия | Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта | AutomationRuleCondition[] |
| expirationTimeUtc | Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. | строка |
| isEnabled | Определяет, включено или отключено правило автоматизации. | bool (обязательно) |
| triggersOn | "Инциденты" (обязательно) | |
| triggersWhen | "Создано" (обязательно) |
AutomationRuleCondition
| Имя | Описание | Значение |
|---|---|---|
| conditionType | Установка типа объекта | Свойство (обязательно) |
PropertyConditionProperties
| Имя | Описание | Значение |
|---|---|---|
| conditionType | "Свойство" (обязательно) | |
| свойства conditionСвойства | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
| Имя | Описание | Значение |
|---|---|---|
| оператор | "Содержит" "EndsWith" "Equals" "NotContains" "NotEndsWith" "NotEquals" NotStartsWith "StartsWith" |
|
| propertyName | Свойство для оценки в условии свойства правила автоматизации | AccountAadTenantId AccountAadUserId AccountNTDomain "AccountName" AccountObjectGuid AccountPUID AccountSid AccountUPNSuffix AlertProductNames AzureResourceResourceId AzureResourceSubscriptionId CloudApplicationAppId CloudApplicationAppName "DNSDomainName" "FileDirectory" "FileHashValue" "FileName" "HostAzureID" "HostNTDomain" "HostName" HostNetBiosName HostOSVersion "IPAddress" "IncidentDescription" "IncidentLabel" "IncidentProviderName" IncidentRelatedAnalyticRuleIds "IncidentSeverity" "IncidentStatus" "IncidentTactics" "IncidentTitle" "IoTDeviceId" "IoTDeviceModel" "IoTDeviceName" IoTDeviceOperatingSystem "IoTDeviceType" "IoTDeviceVendor" "MailMessageDeliveryAction" MailMessageDeliveryLocation "MailMessageP1Sender" "MailMessageP2Sender" "MailMessageRecipient" "MailMessageSenderIP" "MailMessageSubject" "MailboxDisplayName" "MailboxPrimaryAddress" "MailboxUPN" "MalwareCategory" "MalwareName" "ProcessCommandLine" "ProcessId" RegistryKey "RegistryValueData" "Url" |
| propertyValues | string[] |