Microsoft.SecurityInsights automationRules 2021-10-01

Определение ресурса Bicep

Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.

scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в Bicep.

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующий Bicep в шаблон.

resource symbolicname 'Microsoft.SecurityInsights/automationRules@2021-10-01' = {
  name: 'string'
  scope: resourceSymbolicName
  etag: 'string'
  properties: {
    actions: [
      {
        order: int
        actionType: 'string'
        // For remaining properties, see AutomationRuleAction objects
      }
    ]
    displayName: 'string'
    order: int
    triggeringLogic: {
      conditions: [
        {
          conditionType: 'string'
          // For remaining properties, see AutomationRuleCondition objects
        }
      ]
      expirationTimeUtc: 'string'
      isEnabled: bool
      triggersOn: 'Incidents'
      triggersWhen: 'Created'
    }
  }
}

Объекты AutomationRuleAction

Задайте свойство actionType , чтобы указать тип объекта .

Для ModifyProperties используйте:

  actionType: 'ModifyProperties'
  actionConfiguration: {
    classification: 'string'
    classificationComment: 'string'
    classificationReason: 'string'
    labels: [
      {
        labelName: 'string'
      }
    ]
    owner: {
      assignedTo: 'string'
      email: 'string'
      objectId: 'string'
      ownerType: 'string'
      userPrincipalName: 'string'
    }
    severity: 'string'
    status: 'string'
  }

Для RunPlaybook используйте:

  actionType: 'RunPlaybook'
  actionConfiguration: {
    logicAppResourceId: 'string'
    tenantId: 'string'
  }

Объекты AutomationRuleCondition

Задайте свойство conditionType , чтобы указать тип объекта .

Для свойства используйте:

  conditionType: 'Property'
  conditionProperties: {
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }

Значения свойств

automationRules

Имя Описание Значение
name имя ресурса. строка (обязательно)
область Используйте при создании ресурса расширения в области, отличной от области развертывания. Целевой ресурс

Для Bicep задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения.
etag Etag ресурса Azure строка
properties Свойства правила автоматизации AutomationRuleProperties (обязательно)

AutomationRuleProperties

Имя Описание Значение
actions Действия, выполняемые при активации правила автоматизации AutomationRuleAction[] (обязательно)
displayName Отображаемое имя правила автоматизации строка (обязательно)
порядок Порядок выполнения правила автоматизации int (обязательно)
triggeringLogic Описывает логику активации правила автоматизации. AutomationRuleTriggeringLogic (обязательно)

AutomationRuleAction

Имя Описание Значение
порядок int (обязательно)
actionType Установка типа объекта ModifyProperties
RunPlaybook (обязательно)

AutomationRuleModifyPropertiesAction

Имя Описание Значение
actionType Тип действия правила автоматизации ModifyProperties (обязательно)
ActionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Имя Описание Значение
классификация; Причина инцидента была закрыта 'Доброкачественное позитивное'
FalsePositive
TruePositive
"Не определено"
classificationComment Описывает причину закрытия инцидента строка
classificationReason Причина классификации инцидента была закрыта "Неточные Данные"
'IncorrectAlertLogic'
"SuspiciousActivity"
SuspiciousButExpected
метки; Список меток для добавления в инцидент IncidentLabel[]
владелец Сведения о пользователе, которому назначен инцидент IncidentOwnerInfoAutoGenerated
severity Серьезность инцидента "Высокий"
"Информационный"
"Низкий"
"Средний"
status Состояние инцидента "Активный"
"Закрыто"
"Новый"

IncidentLabel

Имя Описание Значение
labelName Имя метки строка (обязательно)

IncidentOwnerInfoAutoGenerated

Имя Описание Значение
assignedTo Имя пользователя, которому назначен инцидент. строка
email Адрес электронной почты пользователя, которому назначен инцидент. строка
objectId Идентификатор объекта пользователя, которому назначен инцидент. строка
ownerType Тип владельца, которому назначен инцидент. "Группа"
"Неизвестно"
Пользователь
userPrincipalName Имя участника-пользователя, которому назначен инцидент. строка

AutomationRuleRunPlaybookAction

Имя Описание Значение
actionType Тип действия правила автоматизации RunPlaybook (обязательно)
ActionConfiguration PlaybookActionProperties

PlaybookActionProperties

Имя Описание Значение
logicAppResourceId Идентификатор ресурса сборника схем строка (обязательно)
tenantId Идентификатор клиента ресурса сборника схем строка

AutomationRuleTriggeringLogic

Имя Описание Значение
условия Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта. AutomationRuleCondition[]
expirationTimeUtc Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. строка
isEnabled Определяет, включено или отключено правило автоматизации. bool (обязательно)
triggersOn "Инциденты" (обязательно)
triggersWhen "Created" (обязательно)

AutomationRuleCondition

Имя Описание Значение
conditionType Установка типа объекта Свойство (обязательно)

PropertyConditionProperties

Имя Описание Значение
conditionType Property (обязательный)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Имя Описание Значение
оператор "Contains"
EndsWith
"Равно"
NotContains
NotEndsWith
NotEquals
NotStartsWith
StartsWith
propertyName Свойство для оценки в условии свойства правила автоматизации AccountAadTenantId
AccountAadUserId
AccountNTDomain
AccountName
AccountObjectGuid
AccountPUID
AccountSid
AccountUPNSuffix
AlertProductNames
AzureResourceResourceId
AzureResourceSubscriptionId
CloudApplicationAppId
CloudApplicationAppName
DNSDomainName
FileDirectory
FileHashValue
"Имя_файла"
HostAzureID
HostNTDomain
HostName
HostNetBiosName
HostOSVersion
IPAddress
"IncidentDescription"
'IncidentLabel'
IncidentProviderName
IncidentRelatedAnalyticRuleIds
"IncidentSeverity"
"IncidentStatus"
"IncidentTactics"
"IncidentTitle"
IoTDeviceId
IoTDeviceModel
IoTDeviceName
IoTDeviceOperatingSystem
'IoTDeviceType'
IoTDeviceVendor
MailMessageDeliveryAction
MailMessageDeliveryLocation
MailMessageP1Sender
MailMessageP2Sender
MailMessageRecipient
MailMessageSenderIP
MailMessageSubject
MailboxDisplayName
MailboxPrimaryAddress
MailboxUPN
MalwareCategory
"MalwareName"
ProcessCommandLine
ProcessId
RegistryKey
RegistryValueData
Url
propertyValues string[]

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
Создание нового правила автоматизации Microsoft Sentinel

Развертывание в Azure
В этом примере показано, как создать новое правило автоматизации в Microsoft Sentinel

Определение ресурса шаблона ARM

Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.

scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в шаблонах ARM.

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующий код JSON в шаблон.

{
  "type": "Microsoft.SecurityInsights/automationRules",
  "apiVersion": "2021-10-01",
  "name": "string",
  "scope": "string",
  "etag": "string",
  "properties": {
    "actions": [
      {
        "order": "int",
        "actionType": "string"
        // For remaining properties, see AutomationRuleAction objects
      }
    ],
    "displayName": "string",
    "order": "int",
    "triggeringLogic": {
      "conditions": [
        {
          "conditionType": "string"
          // For remaining properties, see AutomationRuleCondition objects
        }
      ],
      "expirationTimeUtc": "string",
      "isEnabled": "bool",
      "triggersOn": "Incidents",
      "triggersWhen": "Created"
    }
  }
}

Объекты AutomationRuleAction

Задайте свойство actionType , чтобы указать тип объекта .

Для ModifyProperties используйте:

  "actionType": "ModifyProperties",
  "actionConfiguration": {
    "classification": "string",
    "classificationComment": "string",
    "classificationReason": "string",
    "labels": [
      {
        "labelName": "string"
      }
    ],
    "owner": {
      "assignedTo": "string",
      "email": "string",
      "objectId": "string",
      "ownerType": "string",
      "userPrincipalName": "string"
    },
    "severity": "string",
    "status": "string"
  }

Для RunPlaybook используйте:

  "actionType": "RunPlaybook",
  "actionConfiguration": {
    "logicAppResourceId": "string",
    "tenantId": "string"
  }

Объекты AutomationRuleCondition

Задайте свойство conditionType , чтобы указать тип объекта .

Для свойства используйте:

  "conditionType": "Property",
  "conditionProperties": {
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  }

Значения свойств

automationRules

Имя Описание Значение
тип Тип ресурса Microsoft.SecurityInsights/automationRules
версия_API Версия API ресурсов '2021-10-01'
name имя ресурса. string (обязательно)
область Используется при создании ресурса расширения в области, отличной от области развертывания. Целевой ресурс

Для JSON задайте полное имя ресурса, к который будет применяться ресурс расширения .
etag Etag ресурса Azure строка
properties Свойства правила автоматизации AutomationRuleProperties (обязательно)

AutomationRuleProperties

Имя Описание Значение
actions Действия, выполняемые при активации правила автоматизации AutomationRuleAction[] (обязательно)
displayName Отображаемое имя правила автоматизации string (обязательно)
порядок Порядок выполнения правила автоматизации int (обязательно)
triggeringLogic Описывает логику запуска правила автоматизации. AutomationRuleTriggeringLogic (обязательно)

AutomationRuleAction

Имя Описание Значение
порядок int (обязательно)
actionType Установка типа объекта ModifyProperties
RunPlaybook (обязательно)

AutomationRuleModifyPropertiesAction

Имя Описание Значение
actionType Тип действия правила автоматизации ModifyProperties (обязательно)
ActionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Имя Описание Значение
классификация; Причина закрытия инцидента 'BenignPositive'
FalsePositive
'TruePositive'
"Не определено"
classificationComment Описывает причину закрытия инцидента строка
classificationReason Причина классификации инцидента была закрыта "Неточные Данные"
'IncorrectAlertLogic'
"SuspiciousActivity"
"SuspiciousButExpected"
метки; Список меток для добавления в инцидент IncidentLabel[]
владелец Сведения о пользователе, которому назначен инцидент IncidentOwnerInfoAutoGenerated
severity Серьезность инцидента "Высокий"
"Информационный"
"Низкий"
"Средний"
status Состояние инцидента "Активный"
"Закрыто"
"Новый"

IncidentLabel

Имя Описание Значение
labelName Имя метки string (обязательно)

IncidentOwnerInfoAutoGenerated

Имя Описание Значение
assignedTo Имя пользователя, которому назначен инцидент. строка
email Адрес электронной почты пользователя, которому назначен инцидент. строка
objectId Идентификатор объекта пользователя, которому назначен инцидент. строка
ownerType Тип владельца, которому назначен инцидент. "Группа"
"Неизвестно"
"Пользователь"
userPrincipalName Имя участника-пользователя пользователя, которому назначен инцидент. строка

AutomationRuleRunPlaybookAction

Имя Описание Значение
actionType Тип действия правила автоматизации RunPlaybook (обязательно)
ActionConfiguration PlaybookActionProperties

PlaybookActionProperties

Имя Описание Значение
logicAppResourceId Идентификатор ресурса сборника схем string (обязательно)
tenantId Идентификатор клиента ресурса сборника схем строка

AutomationRuleTriggeringLogic

Имя Описание Значение
условия Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта AutomationRuleCondition[]
expirationTimeUtc Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. строка
isEnabled Определяет, включено или отключено правило автоматизации. bool (обязательно)
triggersOn "Инциденты" (обязательно)
triggersWhen "Создано" (обязательно)

AutomationRuleCondition

Имя Описание Значение
conditionType Установка типа объекта Свойство (обязательно)

PropertyConditionProperties

Имя Описание Значение
conditionType 'Property' (обязательный)
свойства conditionСвойства AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Имя Описание Значение
оператор "Contains"
'EndsWith'
"Equals"
NotContains
NotEndsWith
'NotEquals'
NotStartsWith
'StartsWith'
propertyName Свойство для оценки в условии свойства правила автоматизации AccountAadTenantId
AccountAadUserId
AccountNTDomain
AccountName
AccountObjectGuid
AccountPUID
AccountSid
AccountUPNSuffix
AlertProductNames
AzureResourceResourceId
AzureResourceSubscriptionId
CloudApplicationAppId
CloudApplicationAppName
DNSDomainName
FileDirectory
FileHashValue
"Имя_файла"
HostAzureID
HostNTDomain
HostName
HostNetBiosName
HostOSVersion
IPAddress
"IncidentDescription"
'IncidentLabel'
IncidentProviderName
IncidentRelatedAnalyticRuleIds
"IncidentSeverity"
"IncidentStatus"
"IncidentTactics"
"IncidentTitle"
IoTDeviceId
IoTDeviceModel
IoTDeviceName
IoTDeviceOperatingSystem
'IoTDeviceType'
IoTDeviceVendor
MailMessageDeliveryAction
MailMessageDeliveryLocation
MailMessageP1Sender
MailMessageP2Sender
MailMessageRecipient
MailMessageSenderIP
MailMessageSubject
MailboxDisplayName
MailboxPrimaryAddress
MailboxUPN
MalwareCategory
"MalwareName"
ProcessCommandLine
ProcessId
RegistryKey
RegistryValueData
Url
propertyValues string[]

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
Создание нового правила автоматизации Microsoft Sentinel

Развертывание в Azure
В этом примере показано, как создать новое правило автоматизации в Microsoft Sentinel

Определение ресурса Terraform (поставщик AzAPI)

Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.

parent_id Используйте свойство этого ресурса, чтобы задать область для этого ресурса.

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте в шаблон следующую terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/automationRules@2021-10-01"
  name = "string"
  parent_id = "string"
  body = jsonencode({
    properties = {
      actions = [
        {
          order = int
          actionType = "string"
          // For remaining properties, see AutomationRuleAction objects
        }
      ]
      displayName = "string"
      order = int
      triggeringLogic = {
        conditions = [
          {
            conditionType = "string"
            // For remaining properties, see AutomationRuleCondition objects
          }
        ]
        expirationTimeUtc = "string"
        isEnabled = bool
        triggersOn = "Incidents"
        triggersWhen = "Created"
      }
    }
    etag = "string"
  })
}

Объекты AutomationRuleAction

Задайте свойство actionType , чтобы указать тип объекта .

Для ModifyProperties используйте:

  actionType = "ModifyProperties"
  actionConfiguration = {
    classification = "string"
    classificationComment = "string"
    classificationReason = "string"
    labels = [
      {
        labelName = "string"
      }
    ]
    owner = {
      assignedTo = "string"
      email = "string"
      objectId = "string"
      ownerType = "string"
      userPrincipalName = "string"
    }
    severity = "string"
    status = "string"
  }

Для RunPlaybook используйте:

  actionType = "RunPlaybook"
  actionConfiguration = {
    logicAppResourceId = "string"
    tenantId = "string"
  }

Объекты AutomationRuleCondition

Задайте свойство conditionType , чтобы указать тип объекта .

Для свойства используйте:

  conditionType = "Property"
  conditionProperties = {
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }

Значения свойств

automationRules

Имя Описание Значение
тип Тип ресурса "Microsoft.SecurityInsights/automationRules@2021-10-01"
name имя ресурса. строка (обязательно)
parent_id Идентификатор ресурса, к который применяется этот ресурс расширения. строка (обязательно)
etag Etag ресурса Azure строка
properties Свойства правила автоматизации AutomationRuleProperties (обязательно)

AutomationRuleProperties

Имя Описание Значение
actions Действия, выполняемые при активации правила автоматизации AutomationRuleAction[] (обязательно)
displayName Отображаемое имя правила автоматизации строка (обязательно)
порядок Порядок выполнения правила автоматизации int (обязательно)
triggeringLogic Описывает логику активации правила автоматизации. AutomationRuleTriggeringLogic (обязательно)

AutomationRuleAction

Имя Описание Значение
порядок int (обязательно)
actionType Установка типа объекта ModifyProperties
RunPlaybook (обязательно)

AutomationRuleModifyPropertiesAction

Имя Описание Значение
actionType Тип действия правила автоматизации "ModifyProperties" (обязательно)
ActionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Имя Описание Значение
классификация; Причина закрытия инцидента "BenignPositive"
"FalsePositive"
"TruePositive"
"Не определено"
classificationComment Описывает причину закрытия инцидента строка
classificationReason Причина классификации инцидента была закрыта "Неточные Данные"
"IncorrectAlertLogic"
"SuspiciousActivity"
"SuspiciousButExpected"
метки; Список меток для добавления в инцидент IncidentLabel[]
владелец Сведения о пользователе, которому назначен инцидент IncidentOwnerInfoAutoGenerated
severity Серьезность инцидента "High"
"Информационный"
"Low"
"Средний"
status Состояние инцидента "Активный"
"Закрыто"
"Новый"

IncidentLabel

Имя Описание Значение
labelName Имя метки string (обязательно)

IncidentOwnerInfoAutoGenerated

Имя Описание Значение
assignedTo Имя пользователя, которому назначен инцидент. строка
email Адрес электронной почты пользователя, которому назначен инцидент. строка
objectId Идентификатор объекта пользователя, которому назначен инцидент. строка
ownerType Тип владельца, которому назначен инцидент. "Группа"
"Неизвестно"
"Пользователь".
userPrincipalName Имя участника-пользователя пользователя, которому назначен инцидент. строка

AutomationRuleRunPlaybookAction

Имя Описание Значение
actionType Тип действия правила автоматизации RunPlaybook (обязательно)
ActionConfiguration PlaybookActionProperties

PlaybookActionProperties

Имя Описание Значение
logicAppResourceId Идентификатор ресурса сборника схем string (обязательно)
tenantId Идентификатор клиента ресурса сборника схем строка

AutomationRuleTriggeringLogic

Имя Описание Значение
условия Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта AutomationRuleCondition[]
expirationTimeUtc Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. строка
isEnabled Определяет, включено или отключено правило автоматизации. bool (обязательно)
triggersOn "Инциденты" (обязательно)
triggersWhen "Создано" (обязательно)

AutomationRuleCondition

Имя Описание Значение
conditionType Установка типа объекта Свойство (обязательно)

PropertyConditionProperties

Имя Описание Значение
conditionType "Свойство" (обязательно)
свойства conditionСвойства AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Имя Описание Значение
оператор "Содержит"
"EndsWith"
"Equals"
"NotContains"
"NotEndsWith"
"NotEquals"
NotStartsWith
"StartsWith"
propertyName Свойство для оценки в условии свойства правила автоматизации AccountAadTenantId
AccountAadUserId
AccountNTDomain
"AccountName"
AccountObjectGuid
AccountPUID
AccountSid
AccountUPNSuffix
AlertProductNames
AzureResourceResourceId
AzureResourceSubscriptionId
CloudApplicationAppId
CloudApplicationAppName
"DNSDomainName"
"FileDirectory"
"FileHashValue"
"FileName"
"HostAzureID"
"HostNTDomain"
"HostName"
HostNetBiosName
HostOSVersion
"IPAddress"
"IncidentDescription"
"IncidentLabel"
"IncidentProviderName"
IncidentRelatedAnalyticRuleIds
"IncidentSeverity"
"IncidentStatus"
"IncidentTactics"
"IncidentTitle"
"IoTDeviceId"
"IoTDeviceModel"
"IoTDeviceName"
IoTDeviceOperatingSystem
"IoTDeviceType"
"IoTDeviceVendor"
"MailMessageDeliveryAction"
MailMessageDeliveryLocation
"MailMessageP1Sender"
"MailMessageP2Sender"
"MailMessageRecipient"
"MailMessageSenderIP"
"MailMessageSubject"
"MailboxDisplayName"
"MailboxPrimaryAddress"
"MailboxUPN"
"MalwareCategory"
"MalwareName"
"ProcessCommandLine"
"ProcessId"
RegistryKey
"RegistryValueData"
"Url"
propertyValues string[]