Оповещение Microsoft.SecurityInsightsRules 2022-01-01-preview
- Актуальная
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01 — предварительная версия
- 2021-09-01-preview
- 2021-03-01-preview
- 01.01.2020
- 01.01.2019
Определение ресурса Bicep
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope
Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в Bicep.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2022-01-01-preview' = {
name: 'string'
kind: 'string'
scope: resourceSymbolicName
etag: 'string'
// For remaining properties, see alertRules objects
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
scenarioExclusionPatterns: [
{
dateAddedInUTC: 'string'
exclusionPattern: 'string'
}
]
sourceSettings: [
{
enabled: bool
sourceName: 'string'
sourceSubTypes: [
{
enabled: bool
severityFilters: {
filters: [
{
enabled: bool
severity: 'string'
}
]
}
sourceSubTypeName: 'string'
}
]
}
]
}
Для MicrosoftSecurityIncidentCreation используйте:
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
Для MLBehaviorAnalytics используйте:
kind: 'MLBehaviorAnalytics'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Для NRT используйте:
kind: 'NRT'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
}
Для параметра Scheduled используйте:
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
Для ThreatIntelligence используйте:
kind: 'ThreatIntelligence'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Значения свойств
alertRules
Имя | Описание | Значение |
---|---|---|
name | имя ресурса. | string (обязательно) |
kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
область | Используется при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для Bicep задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения. |
etag | Etag ресурса Azure | строка |
FusionAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | Fusion (обязательно) |
properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
scenarioExclusionPatterns | Конфигурация для исключения сценариев при обнаружении fusion. | FusionScenarioExclusionPattern[] |
sourceSettings | Конфигурация для всех поддерживаемых исходных сигналов при обнаружении fusion. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
Имя | Описание | Значение |
---|---|---|
dateAddedInUTC | DateTime, когда шаблон исключения сценария добавляется в формате UTC. | string (обязательно) |
exclusionPattern | Шаблон исключения сценария. | string (обязательно) |
FusionSourceSettings
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включен или отключен этот исходный сигнал при обнаружении Fusion. | bool (обязательно) |
sourceName | Имя исходного сигнала Fusion. Поддерживаемые значения см. в шаблоне правила генерации оповещений Fusion. | string (обязательно) |
sourceSubTypes | Конфигурация для всех исходных подтипов в этом исходном сигнале, используемом при обнаружении fusion. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включен или отключен этот подтип источника в исходном сигнале при обнаружении Fusion. | bool (обязательно) |
СерьезностьФильтры | Конфигурация серьезности для исходного подтипа, используемого при обнаружении fusion. | FusionSubTypeSeverityFilter (обязательно) |
sourceSubTypeName | Имя исходного подтипа в заданном исходном сигнале при обнаружении Fusion. Поддерживаемые значения см. в шаблоне правила генерации оповещений Fusion. | string (обязательно) |
FusionSubTypeSeverityFilter
Имя | Описание | Значение |
---|---|---|
filters | Индивидуальные параметры конфигурации серьезности для заданного исходного подтипа, используемые при обнаружении Fusion. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включена или отключена эта серьезность для данного подтипа источника, используемого при обнаружении Fusion. | bool (обязательно) |
severity | Серьезность для заданного подтипа источника, используемого при обнаружении Fusion. | "Высокий" "Информационный" "Низкий" "Средний" (обязательный) |
MicrosoftSecurityIncidentCreationAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться случаи | string[] |
displayNamesFilter | отображаемые имена оповещений, на которых будут создаваться случаи | string[] |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
productFilter | ProductName оповещений, для которого будут создаваться обращения. | Защита идентификации Azure Active Directory "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" 'Центр безопасности Azure' Microsoft Cloud App Security "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
SeveritiesFilter | уровни серьезности оповещений, по которым будут создаваться обращения; | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
MLBehaviorAnalyticsAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "MLBehaviorAnalytics" (обязательно) |
properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "NRT" (обязательно) |
properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | объект |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | string (обязательно) |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" (обязательный) |
подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation 'Разведывательная' ResourceDevelopment |
Методы | Методы правила генерации оповещений | string[] |
templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
Имя | Описание | Значение |
---|---|---|
alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
EntityMapping
Имя | Описание | Значение |
---|---|---|
entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
Имя | Описание | Значение |
---|---|---|
columnName | имя столбца, сопоставляемого с идентификатором; | строка |
идентификатор | идентификатор сущности версии 3 | строка |
IncidentConfiguration
Имя | Описание | Значение |
---|---|---|
createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
Имя | Описание | Значение |
---|---|---|
Включено | Группирование включено | bool (обязательно) |
groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: DisplayName "Серьезность" |
groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | 'AllEntities' 'AnyAlert' "Выбрано" (обязательно) |
reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ScheduledAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | строка |
queryFrequency | Частота выполнения этого правила генерации оповещений (в формате длительности ISO 8601). | строка |
queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation 'Разведывательная' ResourceDevelopment |
Методы | Методы правила генерации оповещений | string[] |
templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Equal" 'GreaterThan' 'LessThan' 'NotEqual' |
triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
EventGroupingSettings
Имя | Описание | Значение |
---|---|---|
aggregationKind | Типы агрегирования событий | AlertPerResult 'SingleAlert' |
ThreatIntelligenceAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | ThreatIntelligence (обязательно) |
properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
Создает правило запланированной аналитики Microsoft Sentinel |
В этом примере показано, как создать новое правило аналитики по расписанию в Microsoft Sentinel |
Определение ресурса шаблона ARM
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope
Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в шаблонах ARM.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.SecurityInsights/alertRules",
"apiVersion": "2022-01-01-preview",
"name": "string",
"kind": "string",
"scope": "string",
"etag": "string",
// For remaining properties, see alertRules objects
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool",
"scenarioExclusionPatterns": [
{
"dateAddedInUTC": "string",
"exclusionPattern": "string"
}
],
"sourceSettings": [
{
"enabled": "bool",
"sourceName": "string",
"sourceSubTypes": [
{
"enabled": "bool",
"severityFilters": {
"filters": [
{
"enabled": "bool",
"severity": "string"
}
]
},
"sourceSubTypeName": "string"
}
]
}
]
}
Для MicrosoftSecurityIncidentCreation используйте:
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
Для MLBehaviorAnalytics используйте:
"kind": "MLBehaviorAnalytics",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Для NRT используйте:
"kind": "NRT",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string"
}
Для параметра Scheduled используйте:
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
Для ThreatIntelligence используйте:
"kind": "ThreatIntelligence",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Значения свойств
alertRules
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | Microsoft.SecurityInsights/alertRules |
версия_API | Версия API ресурсов | '2022-01-01-preview' |
name | имя ресурса. | string (обязательно) |
kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
область | Используется при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для JSON задайте полное имя ресурса, к который будет применяться ресурс расширения . |
etag | Etag ресурса Azure | строка |
FusionAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | Fusion (обязательно) |
properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
scenarioExclusionPatterns | Настройка для исключения сценариев при обнаружении fusion. | FusionScenarioExclusionPattern[] |
sourceSettings | Конфигурация для всех поддерживаемых исходных сигналов при обнаружении fusion. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
Имя | Описание | Значение |
---|---|---|
dateAddedInUTC | Дата и время, когда шаблон исключения сценария добавляется в формате UTC. | строка (обязательно) |
exclusionPattern | Шаблон исключения сценария. | строка (обязательно) |
FusionSourceSettings
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включен или отключен этот исходный сигнал при обнаружении Fusion. | bool (обязательно) |
sourceName | Имя исходного сигнала Fusion. Поддерживаемые значения см. в статье Шаблон правила генерации оповещений Fusion. | строка (обязательно) |
sourceSubTypes | Конфигурация для всех исходных подтипов в этом исходном сигнале, используемом при обнаружении fusion. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включен или отключен этот подтип источника в исходном сигнале при обнаружении Fusion. | bool (обязательно) |
severityFilters | Конфигурация серьезности для подтипа источника, используемого при обнаружении fusion. | FusionSubTypeSeverityFilter (обязательно) |
sourceSubTypeName | Имя подтипа источника в заданном исходном сигнале при обнаружении Fusion. Поддерживаемые значения см. в статье Шаблон правила генерации оповещений Fusion. | строка (обязательно) |
FusionSubTypeSeverityFilter
Имя | Описание | Значение |
---|---|---|
filters | Отдельные параметры конфигурации серьезности для заданного исходного подтипа, используемого при обнаружении Fusion. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включена или отключена эта серьезность для данного исходного подтипа, используемого при обнаружении Fusion. | bool (обязательно) |
severity | Серьезность для заданного исходного подтипа, используемого при обнаружении Fusion. | "Высокий" "Информационный" "Низкий" "Средний" (обязательно) |
MicrosoftSecurityIncidentCreationAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться обращения; | string[] |
displayNamesFilter | displayNames оповещений, на которых будут создаваться обращения; | string[] |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
productFilter | ProductName оповещений, на котором будут создаваться обращения. | Защита идентификации Azure Active Directory "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" "Центр безопасности Azure" Microsoft Cloud App Security "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
severitiesFilter | серьезности оповещений, на основе которых будут создаваться обращения; | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
MLBehaviorAnalyticsAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | MLBehaviorAnalytics (обязательно) |
properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "NRT" (обязательно) |
properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов для подключения к оповещению | object |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | строка (обязательно) |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" (обязательно) |
подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" CommandAndControl CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation 'Разведывательная' ResourceDevelopment |
Методы | Методы правила генерации оповещений | string[] |
templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
Имя | Описание | Значение |
---|---|---|
alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
EntityMapping
Имя | Описание | Значение |
---|---|---|
entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
Имя | Описание | Значение |
---|---|---|
columnName | имя столбца, сопоставляемого с идентификатором; | строка |
идентификатор | идентификатор сущности версии 3 | строка |
IncidentConfiguration
Имя | Описание | Значение |
---|---|---|
createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
Имя | Описание | Значение |
---|---|---|
Включено | Группирование включено | bool (обязательно) |
groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: DisplayName "Серьезность" |
groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | 'AllEntities' 'AnyAlert' "Выбрано" (обязательно) |
reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ScheduledAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | строка |
queryFrequency | Частота выполнения этого правила генерации оповещений (в формате длительности ISO 8601). | строка |
queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation 'Разведывательная' ResourceDevelopment |
Методы | Методы правила генерации оповещений | string[] |
templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Equal" 'GreaterThan' 'LessThan' 'NotEqual' |
triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
EventGroupingSettings
Имя | Описание | Значение |
---|---|---|
aggregationKind | Типы агрегирования событий | AlertPerResult 'SingleAlert' |
ThreatIntelligenceAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | ThreatIntelligence (обязательно) |
properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
Создает правило запланированной аналитики Microsoft Sentinel |
В этом примере показано, как создать новое правило аналитики по расписанию в Microsoft Sentinel |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
parent_id
Используйте свойство этого ресурса, чтобы задать область для этого ресурса.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующую terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/alertRules@2022-01-01-preview"
name = "string"
parent_id = "string"
// For remaining properties, see alertRules objects
body = jsonencode({
kind = "string"
etag = "string"
})
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
scenarioExclusionPatterns = [
{
dateAddedInUTC = "string"
exclusionPattern = "string"
}
]
sourceSettings = [
{
enabled = bool
sourceName = "string"
sourceSubTypes = [
{
enabled = bool
severityFilters = {
filters = [
{
enabled = bool
severity = "string"
}
]
}
sourceSubTypeName = "string"
}
]
}
]
}
Для MicrosoftSecurityIncidentCreation используйте:
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
Для MLBehaviorAnalytics используйте:
kind = "MLBehaviorAnalytics"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Для NRT используйте:
kind = "NRT"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
}
Для параметра Scheduled используйте:
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
Для ThreatIntelligence используйте:
kind = "ThreatIntelligence"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Значения свойств
alertRules
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | "Microsoft.SecurityInsights/alertRules@2022-01-01-preview" |
name | имя ресурса. | string (обязательно) |
parent_id | Идентификатор ресурса, к который применяется этот ресурс расширения. | string (обязательно) |
kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
etag | Etag ресурса Azure | строка |
FusionAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | Fusion (обязательно) |
properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
scenarioExclusionPatterns | Настройка для исключения сценариев при обнаружении fusion. | FusionScenarioExclusionPattern[] |
sourceSettings | Конфигурация для всех поддерживаемых исходных сигналов при обнаружении fusion. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
Имя | Описание | Значение |
---|---|---|
dateAddedInUTC | Дата и время, когда шаблон исключения сценария добавляется в формате UTC. | строка (обязательно) |
exclusionPattern | Шаблон исключения сценария. | строка (обязательно) |
FusionSourceSettings
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включен или отключен этот исходный сигнал при обнаружении Fusion. | bool (обязательно) |
sourceName | Имя исходного сигнала Fusion. Поддерживаемые значения см. в статье Шаблон правила генерации оповещений Fusion. | строка (обязательно) |
sourceSubTypes | Конфигурация для всех исходных подтипов в этом исходном сигнале, используемом при обнаружении fusion. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включен или отключен этот подтип источника в исходном сигнале при обнаружении Fusion. | bool (обязательно) |
severityFilters | Конфигурация серьезности для подтипа источника, используемого при обнаружении fusion. | FusionSubTypeSeverityFilter (обязательно) |
sourceSubTypeName | Имя подтипа источника в заданном исходном сигнале при обнаружении Fusion. Поддерживаемые значения см. в статье Шаблон правила генерации оповещений Fusion. | строка (обязательно) |
FusionSubTypeSeverityFilter
Имя | Описание | Значение |
---|---|---|
filters | Отдельные параметры конфигурации серьезности для заданного исходного подтипа, используемого при обнаружении Fusion. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
Имя | Описание | Значение |
---|---|---|
Включено | Определяет, включена или отключена эта серьезность для данного исходного подтипа, используемого при обнаружении Fusion. | bool (обязательно) |
severity | Серьезность для заданного исходного подтипа, используемого при обнаружении Fusion. | "High" "Информационный" "Low" "Средний" (обязательный) |
MicrosoftSecurityIncidentCreationAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться обращения; | string[] |
displayNamesFilter | displayNames оповещений, на которых будут создаваться обращения; | string[] |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
productFilter | ProductName оповещений, на котором будут создаваться обращения. | "Защита идентификации Azure Active Directory" "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" "Центр безопасности Azure" "Microsoft Cloud App Security" "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
severitiesFilter | серьезности оповещений, на основе которых будут создаваться обращения; | Массив строк, содержащий любой из: "High" "Информационный" "Low" "Средний" |
MLBehaviorAnalyticsAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "MLBehaviorAnalytics" (обязательно) |
properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "NRT" (обязательно) |
properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов для подключения к оповещению | object |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | строка (обязательно) |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "High" "Информационный" "Low" "Средний" (обязательный) |
подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" "CommandAndControl" CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Кража" "Влияние" "ImpairProcessControl" "InhibitResponseFunction" "InitialAccess" "LateralMovement" "Сохраняемость" "PreAttack" "PrivilegeEscalation" "Разведывательная атака" "ResourceDevelopment" |
Методы | Методы правила генерации оповещений | string[] |
templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
Имя | Описание | Значение |
---|---|---|
alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
EntityMapping
Имя | Описание | Значение |
---|---|---|
entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" "AzureResource" CloudApplication "DNS" "Файл" "FileHash" "Узел" "IP" "MailCluster" "MailMessage" "Mailbox" "Вредоносные программы" "Процесс" RegistryKey "RegistryValue" "SecurityGroup" "SubmissionMail" "URL-адрес" |
fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
Имя | Описание | Значение |
---|---|---|
columnName | имя столбца, сопоставляемого с идентификатором; | строка |
идентификатор | идентификатор сущности версии 3 | строка |
IncidentConfiguration
Имя | Описание | Значение |
---|---|---|
createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
Имя | Описание | Значение |
---|---|---|
Включено | Группирование включено | bool (обязательно) |
groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: "DisplayName" "Серьезность" |
groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" "AzureResource" CloudApplication "DNS" "Файл" "FileHash" "Узел" "IP" "MailCluster" "MailMessage" "Mailbox" "Вредоносные программы" "Процесс" RegistryKey "RegistryValue" "SecurityGroup" "SubmissionMail" "URL-адрес" |
lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | "AllEntities" "AnyAlert" "Выбрано" (обязательно) |
reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ScheduledAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | строка |
queryFrequency | Частота выполнения этого правила генерации оповещений (в формате длительности ISO 8601). | строка |
queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "High" "Информационный" "Low" "Средний" |
подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" "CommandAndControl" CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Кража" "Влияние" "ImpairProcessControl" "InhibitResponseFunction" "InitialAccess" "LateralMovement" "Сохраняемость" "PreAttack" "PrivilegeEscalation" "Разведывательная атака" "ResourceDevelopment" |
Методы | Методы правила генерации оповещений | string[] |
templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Equal" "GreaterThan" "LessThan" "NotEqual" |
triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
EventGroupingSettings
Имя | Описание | Значение |
---|---|---|
aggregationKind | Типы агрегирования событий | AlertPerResult "SingleAlert" |
ThreatIntelligenceAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "ThreatIntelligence" (обязательно) |
properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |