Microsoft.SecurityInsights automationRules 2022-08-01
- Актуальная
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01 — предварительная версия
- 2021-09-01-preview
- 2019-01-01-preview
Определение ресурса Bicep
Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope
Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в Bicep.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.SecurityInsights/automationRules@2022-08-01' = {
name: 'string'
scope: resourceSymbolicName
etag: 'string'
properties: {
actions: [
{
order: int
actionType: 'string'
// For remaining properties, see AutomationRuleAction objects
}
]
displayName: 'string'
order: int
triggeringLogic: {
conditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc: 'string'
isEnabled: bool
triggersOn: 'Incidents'
triggersWhen: 'Created'
}
}
}
Объекты AutomationRuleAction
Задайте свойство actionType , чтобы указать тип объекта .
Для ModifyProperties используйте:
actionType: 'ModifyProperties'
actionConfiguration: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
labels: [
{
labelName: 'string'
}
]
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
ownerType: 'string'
userPrincipalName: 'string'
}
severity: 'string'
status: 'string'
}
Для RunPlaybook используйте:
actionType: 'RunPlaybook'
actionConfiguration: {
logicAppResourceId: 'string'
tenantId: 'string'
}
Объекты AutomationRuleCondition
Задайте свойство conditionType , чтобы указать тип объекта .
Для свойства используйте:
conditionType: 'Property'
conditionProperties: {
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
Значения свойств
automationRules
Имя | Описание | Значение |
---|---|---|
name | имя ресурса. | строка (обязательно) |
область | Используйте при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для Bicep задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения. |
etag | Etag ресурса Azure | строка |
properties | Свойства правила автоматизации | AutomationRuleProperties (обязательно) |
AutomationRuleProperties
Имя | Описание | Значение |
---|---|---|
actions | Действия, выполняемые при активации правила автоматизации | AutomationRuleAction[] (обязательно) |
displayName | Отображаемое имя правила автоматизации | строка (обязательно) |
порядок | Порядок выполнения правила автоматизации | int (обязательно) |
triggeringLogic | Описывает логику активации правила автоматизации. | AutomationRuleTriggeringLogic (обязательно) |
AutomationRuleAction
Имя | Описание | Значение |
---|---|---|
порядок | int (обязательно) | |
actionType | Установка типа объекта | ModifyProperties RunPlaybook (обязательно) |
AutomationRuleModifyPropertiesAction
Имя | Описание | Значение |
---|---|---|
actionType | Тип действия правила автоматизации | ModifyProperties (обязательно) |
ActionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
Имя | Описание | Значение |
---|---|---|
классификация; | Причина инцидента была закрыта | 'Доброкачественное позитивное' FalsePositive TruePositive "Не определено" |
classificationComment | Описывает причину закрытия инцидента | строка |
classificationReason | Причина классификации инцидента была закрыта | "Неточные Данные" 'IncorrectAlertLogic' "SuspiciousActivity" SuspiciousButExpected |
метки; | Список меток для добавления в инцидент | IncidentLabel[] |
владелец | Сведения о пользователе, которому назначен инцидент | IncidentOwnerInfo |
severity | Серьезность инцидента | "Высокий" "Информационный" "Низкий" "Средний" |
status | Состояние инцидента | "Активный" "Закрыто" "Новый" |
IncidentLabel
Имя | Описание | Значение |
---|---|---|
labelName | Имя метки | строка (обязательно) |
IncidentOwnerInfo
Имя | Описание | Значение |
---|---|---|
assignedTo | Имя пользователя, которому назначен инцидент. | строка |
Адрес электронной почты пользователя, которому назначен инцидент. | строка | |
objectId | Идентификатор объекта пользователя, которому назначен инцидент. | строка |
ownerType | Тип владельца, которому назначен инцидент. | "Группа" "Неизвестно" Пользователь |
userPrincipalName | Имя участника-пользователя, которому назначен инцидент. | строка |
AutomationRuleRunPlaybookAction
Имя | Описание | Значение |
---|---|---|
actionType | Тип действия правила автоматизации | RunPlaybook (обязательно) |
ActionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
Имя | Описание | Значение |
---|---|---|
logicAppResourceId | Идентификатор ресурса сборника схем | строка (обязательно) |
tenantId | Идентификатор клиента ресурса сборника схем | строка |
AutomationRuleTriggeringLogic
Имя | Описание | Значение |
---|---|---|
условия | Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта. | AutomationRuleCondition[] |
expirationTimeUtc | Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. | строка |
isEnabled | Определяет, включено или отключено правило автоматизации. | bool (обязательно) |
triggersOn | "Инциденты" (обязательно) | |
triggersWhen | "Created" (обязательно) |
AutomationRuleCondition
Имя | Описание | Значение |
---|---|---|
conditionType | Установка типа объекта | Свойство (обязательно) |
PropertyConditionProperties
Имя | Описание | Значение |
---|---|---|
conditionType | 'Property' (обязательный) | |
свойства conditionСвойства | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
Имя | Описание | Значение |
---|---|---|
оператор | "Contains" 'EndsWith' "Equals" NotContains NotEndsWith 'NotEquals' NotStartsWith 'StartsWith' |
|
propertyName | Свойство для оценки в условии свойства правила автоматизации | AccountAadTenantId AccountAadUserId AccountNTDomain AccountName AccountObjectGuid AccountPUID AccountSid AccountUPNSuffix AlertProductNames AzureResourceResourceId AzureResourceSubscriptionId CloudApplicationAppId CloudApplicationAppName DNSDomainName FileDirectory 'FileHashValue' "Имя_файла" HostAzureID HostNTDomain "Имя узла" HostNetBiosName HostOSVersion IPAddress 'IncidentDescription' 'IncidentLabel' IncidentProviderName IncidentRelatedAnalyticRuleIds "IncidentSeverity" "IncidentStatus" 'IncidentTactics' 'IncidentTitle' IoTDeviceId IoTDeviceModel IoTDeviceName IoTDeviceOperatingSystem IoTDeviceType IoTDeviceVendor MailMessageDeliveryAction MailMessageDeliveryLocation 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' MailboxDisplayName MailboxPrimaryAddress MailboxUPN "MalwareCategory" "MalwareName" ProcessCommandLine ProcessId RegistryKey RegistryValueData "Url" |
propertyValues | string[] |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
Создание нового правила автоматизации Microsoft Sentinel |
В этом примере показано, как создать новое правило автоматизации в Microsoft Sentinel |
Определение ресурса шаблона ARM
Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope
Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в шаблонах ARM.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.SecurityInsights/automationRules",
"apiVersion": "2022-08-01",
"name": "string",
"scope": "string",
"etag": "string",
"properties": {
"actions": [
{
"order": "int",
"actionType": "string"
// For remaining properties, see AutomationRuleAction objects
}
],
"displayName": "string",
"order": "int",
"triggeringLogic": {
"conditions": [
{
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
}
],
"expirationTimeUtc": "string",
"isEnabled": "bool",
"triggersOn": "Incidents",
"triggersWhen": "Created"
}
}
}
Объекты AutomationRuleAction
Задайте свойство actionType , чтобы указать тип объекта .
Для ModifyProperties используйте:
"actionType": "ModifyProperties",
"actionConfiguration": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"labels": [
{
"labelName": "string"
}
],
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"ownerType": "string",
"userPrincipalName": "string"
},
"severity": "string",
"status": "string"
}
Для RunPlaybook используйте:
"actionType": "RunPlaybook",
"actionConfiguration": {
"logicAppResourceId": "string",
"tenantId": "string"
}
Объекты AutomationRuleCondition
Задайте свойство conditionType , чтобы указать тип объекта.
Для свойства используйте:
"conditionType": "Property",
"conditionProperties": {
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
}
Значения свойств
automationRules
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | Microsoft.SecurityInsights/automationRules |
версия_API | Версия API ресурсов | '2022-08-01' |
name | имя ресурса. | string (обязательно) |
область | Используется при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для JSON задайте полное имя ресурса, к который будет применяться ресурс расширения . |
etag | Etag ресурса Azure | строка |
properties | Свойства правила автоматизации | AutomationRuleProperties (обязательно) |
AutomationRuleProperties
Имя | Описание | Значение |
---|---|---|
actions | Действия, выполняемые при активации правила автоматизации | AutomationRuleAction[] (обязательно) |
displayName | Отображаемое имя правила автоматизации | string (обязательно) |
порядок | Порядок выполнения правила автоматизации | int (обязательно) |
triggeringLogic | Описывает логику запуска правила автоматизации. | AutomationRuleTriggeringLogic (обязательно) |
AutomationRuleAction
Имя | Описание | Значение |
---|---|---|
порядок | int (обязательно) | |
actionType | Установка типа объекта | ModifyProperties RunPlaybook (обязательно) |
AutomationRuleModifyPropertiesAction
Имя | Описание | Значение |
---|---|---|
actionType | Тип действия правила автоматизации | ModifyProperties (обязательно) |
ActionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
Имя | Описание | Значение |
---|---|---|
классификация; | Причина закрытия инцидента | 'BenignPositive' FalsePositive 'TruePositive' "Не определено" |
classificationComment | Описывает причину закрытия инцидента | строка |
classificationReason | Причина классификации инцидента была закрыта | "Неточные Данные" 'IncorrectAlertLogic' "SuspiciousActivity" "SuspiciousButExpected" |
метки; | Список меток для добавления в инцидент | IncidentLabel[] |
владелец | Сведения о пользователе, которому назначен инцидент | IncidentOwnerInfo |
severity | Серьезность инцидента | "Высокий" "Информационный" "Низкий" "Средний" |
status | Состояние инцидента | "Активный" "Закрыто" "Новый" |
IncidentLabel
Имя | Описание | Значение |
---|---|---|
labelName | Имя метки | string (обязательно) |
IncidentOwnerInfo
Имя | Описание | Значение |
---|---|---|
assignedTo | Имя пользователя, которому назначен инцидент. | строка |
Адрес электронной почты пользователя, которому назначен инцидент. | строка | |
objectId | Идентификатор объекта пользователя, которому назначен инцидент. | строка |
ownerType | Тип владельца, которому назначен инцидент. | "Группа" "Неизвестно" Пользователь |
userPrincipalName | Имя участника-пользователя, которому назначен инцидент. | строка |
AutomationRuleRunPlaybookAction
Имя | Описание | Значение |
---|---|---|
actionType | Тип действия правила автоматизации | RunPlaybook (обязательно) |
ActionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
Имя | Описание | Значение |
---|---|---|
logicAppResourceId | Идентификатор ресурса сборника схем | строка (обязательно) |
tenantId | Идентификатор клиента ресурса сборника схем | строка |
AutomationRuleTriggeringLogic
Имя | Описание | Значение |
---|---|---|
условия | Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта. | AutomationRuleCondition[] |
expirationTimeUtc | Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. | строка |
isEnabled | Определяет, включено или отключено правило автоматизации. | bool (обязательно) |
triggersOn | "Инциденты" (обязательно) | |
triggersWhen | "Created" (обязательно) |
AutomationRuleCondition
Имя | Описание | Значение |
---|---|---|
conditionType | Установка типа объекта | Свойство (обязательно) |
PropertyConditionProperties
Имя | Описание | Значение |
---|---|---|
conditionType | Property (обязательный) | |
conditionProperties | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
Имя | Описание | Значение |
---|---|---|
оператор | "Contains" EndsWith "Равно" NotContains NotEndsWith NotEquals NotStartsWith StartsWith |
|
propertyName | Свойство для оценки в условии свойства правила автоматизации | AccountAadTenantId AccountAadUserId AccountNTDomain AccountName AccountObjectGuid AccountPUID AccountSid AccountUPNSuffix AlertProductNames AzureResourceResourceId AzureResourceSubscriptionId CloudApplicationAppId CloudApplicationAppName DNSDomainName FileDirectory 'FileHashValue' "Имя_файла" HostAzureID HostNTDomain "Имя узла" HostNetBiosName HostOSVersion IPAddress 'IncidentDescription' 'IncidentLabel' IncidentProviderName IncidentRelatedAnalyticRuleIds "IncidentSeverity" "IncidentStatus" 'IncidentTactics' 'IncidentTitle' IoTDeviceId IoTDeviceModel IoTDeviceName IoTDeviceOperatingSystem IoTDeviceType IoTDeviceVendor MailMessageDeliveryAction MailMessageDeliveryLocation 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' MailboxDisplayName MailboxPrimaryAddress MailboxUPN "MalwareCategory" "MalwareName" ProcessCommandLine ProcessId RegistryKey RegistryValueData "Url" |
propertyValues | string[] |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
Создание нового правила автоматизации Microsoft Sentinel |
В этом примере показано, как создать новое правило автоматизации в Microsoft Sentinel |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
parent_id
Используйте свойство этого ресурса, чтобы задать область для этого ресурса.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующую terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/automationRules@2022-08-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
actions = [
{
order = int
actionType = "string"
// For remaining properties, see AutomationRuleAction objects
}
]
displayName = "string"
order = int
triggeringLogic = {
conditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc = "string"
isEnabled = bool
triggersOn = "Incidents"
triggersWhen = "Created"
}
}
etag = "string"
})
}
Объекты AutomationRuleAction
Задайте свойство actionType , чтобы указать тип объекта .
Для ModifyProperties используйте:
actionType = "ModifyProperties"
actionConfiguration = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
labels = [
{
labelName = "string"
}
]
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
ownerType = "string"
userPrincipalName = "string"
}
severity = "string"
status = "string"
}
Для RunPlaybook используйте:
actionType = "RunPlaybook"
actionConfiguration = {
logicAppResourceId = "string"
tenantId = "string"
}
Объекты AutomationRuleCondition
Задайте свойство conditionType , чтобы указать тип объекта.
Для свойства используйте:
conditionType = "Property"
conditionProperties = {
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
Значения свойств
automationRules
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | "Microsoft.SecurityInsights/automationRules@2022-08-01" |
name | имя ресурса. | string (обязательно) |
parent_id | Идентификатор ресурса, к который применяется этот ресурс расширения. | string (обязательно) |
etag | Etag ресурса Azure | строка |
properties | Свойства правила автоматизации | AutomationRuleProperties (обязательно) |
AutomationRuleProperties
Имя | Описание | Значение |
---|---|---|
actions | Действия, выполняемые при активации правила автоматизации | AutomationRuleAction[] (обязательно) |
displayName | Отображаемое имя правила автоматизации | string (обязательно) |
порядок | Порядок выполнения правила автоматизации | int (обязательно) |
triggeringLogic | Описывает логику запуска правила автоматизации. | AutomationRuleTriggeringLogic (обязательно) |
AutomationRuleAction
Имя | Описание | Значение |
---|---|---|
порядок | int (обязательно) | |
actionType | Установка типа объекта | ModifyProperties RunPlaybook (обязательно) |
AutomationRuleModifyPropertiesAction
Имя | Описание | Значение |
---|---|---|
actionType | Тип действия правила автоматизации | "ModifyProperties" (обязательно) |
ActionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
Имя | Описание | Значение |
---|---|---|
классификация; | Причина закрытия инцидента | "BenignPositive" "FalsePositive" "TruePositive" "Не определено" |
classificationComment | Описывает причину закрытия инцидента | строка |
classificationReason | Причина классификации инцидента была закрыта | "Неточные Данные" "IncorrectAlertLogic" "SuspiciousActivity" "SuspiciousButExpected" |
метки; | Список меток для добавления в инцидент | IncidentLabel[] |
владелец | Сведения о пользователе, которому назначен инцидент | IncidentOwnerInfo |
severity | Серьезность инцидента | "High" "Информационный" "Low" "Средний" |
status | Состояние инцидента | "Активный" "Закрыто" "Новый" |
IncidentLabel
Имя | Описание | Значение |
---|---|---|
labelName | Имя метки | string (обязательно) |
IncidentOwnerInfo
Имя | Описание | Значение |
---|---|---|
assignedTo | Имя пользователя, которому назначен инцидент. | строка |
Адрес электронной почты пользователя, которому назначен инцидент. | строка | |
objectId | Идентификатор объекта пользователя, которому назначен инцидент. | строка |
ownerType | Тип владельца, которому назначен инцидент. | "Группа" "Неизвестно" "Пользователь". |
userPrincipalName | Имя участника-пользователя пользователя, которому назначен инцидент. | строка |
AutomationRuleRunPlaybookAction
Имя | Описание | Значение |
---|---|---|
actionType | Тип действия правила автоматизации | RunPlaybook (обязательно) |
ActionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
Имя | Описание | Значение |
---|---|---|
logicAppResourceId | Идентификатор ресурса сборника схем | string (обязательно) |
tenantId | Идентификатор клиента ресурса сборника схем | строка |
AutomationRuleTriggeringLogic
Имя | Описание | Значение |
---|---|---|
условия | Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта | AutomationRuleCondition[] |
expirationTimeUtc | Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. | строка |
isEnabled | Определяет, включено или отключено правило автоматизации. | bool (обязательно) |
triggersOn | "Инциденты" (обязательно) | |
triggersWhen | "Создано" (обязательно) |
AutomationRuleCondition
Имя | Описание | Значение |
---|---|---|
conditionType | Установка типа объекта | Свойство (обязательно) |
PropertyConditionProperties
Имя | Описание | Значение |
---|---|---|
conditionType | "Свойство" (обязательно) | |
свойства conditionСвойства | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
Имя | Описание | Значение |
---|---|---|
оператор | "Содержит" "EndsWith" "Equals" "NotContains" "NotEndsWith" "NotEquals" NotStartsWith "StartsWith" |
|
propertyName | Свойство для оценки в условии свойства правила автоматизации | AccountAadTenantId AccountAadUserId AccountNTDomain "AccountName" AccountObjectGuid AccountPUID AccountSid AccountUPNSuffix AlertProductNames AzureResourceResourceId AzureResourceSubscriptionId CloudApplicationAppId CloudApplicationAppName "DNSDomainName" "FileDirectory" "FileHashValue" "FileName" "HostAzureID" "HostNTDomain" "HostName" HostNetBiosName HostOSVersion "IPAddress" "IncidentDescription" "IncidentLabel" "IncidentProviderName" IncidentRelatedAnalyticRuleIds "IncidentSeverity" "IncidentStatus" "IncidentTactics" "IncidentTitle" "IoTDeviceId" "IoTDeviceModel" "IoTDeviceName" IoTDeviceOperatingSystem "IoTDeviceType" "IoTDeviceVendor" "MailMessageDeliveryAction" MailMessageDeliveryLocation "MailMessageP1Sender" "MailMessageP2Sender" "MailMessageRecipient" "MailMessageSenderIP" "MailMessageSubject" "MailboxDisplayName" "MailboxPrimaryAddress" "MailboxUPN" "MalwareCategory" "MalwareName" "ProcessCommandLine" "ProcessId" RegistryKey "RegistryValueData" "Url" |
propertyValues | string[] |