Microsoft.SecurityInsights automationRules 2022-12-01-preview

Определение ресурса Bicep

Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.

scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в Bicep.

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующий Bicep в шаблон.

resource symbolicname 'Microsoft.SecurityInsights/automationRules@2022-12-01-preview' = {
  name: 'string'
  scope: resourceSymbolicName
  etag: 'string'
  properties: {
    actions: [
      {
        order: int
        actionType: 'string'
        // For remaining properties, see AutomationRuleAction objects
      }
    ]
    displayName: 'string'
    order: int
    triggeringLogic: {
      conditions: [
        {
          conditionType: 'string'
          // For remaining properties, see AutomationRuleCondition objects
        }
      ]
      expirationTimeUtc: 'string'
      isEnabled: bool
      triggersOn: 'string'
      triggersWhen: 'string'
    }
  }
}

Объекты AutomationRuleAction

Задайте свойство actionType , чтобы указать тип объекта .

Для AddIncidentTask используйте:

  actionType: 'AddIncidentTask'
  actionConfiguration: {
    description: 'string'
    title: 'string'
  }

Для ModifyProperties используйте:

  actionType: 'ModifyProperties'
  actionConfiguration: {
    classification: 'string'
    classificationComment: 'string'
    classificationReason: 'string'
    labels: [
      {
        labelName: 'string'
      }
    ]
    owner: {
      assignedTo: 'string'
      email: 'string'
      objectId: 'string'
      ownerType: 'string'
      userPrincipalName: 'string'
    }
    severity: 'string'
    status: 'string'
  }

Для RunPlaybook используйте:

  actionType: 'RunPlaybook'
  actionConfiguration: {
    logicAppResourceId: 'string'
    tenantId: 'string'
  }

Объекты AutomationRuleCondition

Задайте свойство conditionType , чтобы указать тип объекта .

Для логического значения используйте:

  conditionType: 'Boolean'
  conditionProperties: {
    innerConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator: 'string'
  }

Для свойства используйте:

  conditionType: 'Property'
  conditionProperties: {
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }

Для PropertyArray используйте:

  conditionType: 'PropertyArray'
  conditionProperties: {
    arrayConditionType: 'AnyItem'
    arrayType: 'string'
    itemConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

Для PropertyArrayChanged используйте:

  conditionType: 'PropertyArrayChanged'
  conditionProperties: {
    arrayType: 'string'
    changeType: 'Added'
  }

Для PropertyChanged используйте:

  conditionType: 'PropertyChanged'
  conditionProperties: {
    changeType: 'string'
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }

Значения свойств

automationRules

Имя Описание Значение
name имя ресурса. строка (обязательно)
область Используйте при создании ресурса расширения в области, отличной от области развертывания. Целевой ресурс

Для Bicep задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения.
etag Etag ресурса Azure строка
properties Свойства правила автоматизации AutomationRuleProperties (обязательно)

AutomationRuleProperties

Имя Описание Значение
actions Действия, выполняемые при активации правила автоматизации. AutomationRuleAction[] (обязательно)
displayName Отображаемое имя правила автоматизации. строка (обязательно)
порядок Порядок выполнения правила автоматизации. int (обязательно)
triggeringLogic Описывает логику запуска правила автоматизации. AutomationRuleTriggeringLogic (обязательно)

AutomationRuleAction

Имя Описание Значение
порядок int (обязательно)
actionType Установка типа объекта AddIncidentTask
ModifyProperties
RunPlaybook (обязательно)

AutomationRuleAddIncidentTaskAction

Имя Описание Значение
actionType Тип действия правила автоматизации. AddIncidentTask (обязательно)
ActionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

Имя Описание Значение
description Описание задачи. строка
title Название задачи. string (обязательно)

AutomationRuleModifyPropertiesAction

Имя Описание Значение
actionType Тип действия правила автоматизации. ModifyProperties (обязательно)
ActionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Имя Описание Значение
классификация; Причина закрытия инцидента 'BenignPositive'
FalsePositive
'TruePositive'
"Не определено"
classificationComment Описывает причину закрытия инцидента. строка
classificationReason Причина классификации инцидента была закрыта "Неточные Данные"
'IncorrectAlertLogic'
"SuspiciousActivity"
"SuspiciousButExpected"
метки; Список меток для добавления в инцидент. IncidentLabel[]
владелец Сведения о пользователе, которому назначен инцидент IncidentOwnerInfo
severity Серьезность инцидента "Высокий"
"Информационный"
"Низкий"
"Средний"
status Состояние инцидента "Активный"
"Закрыто"
"Новый"

IncidentLabel

Имя Описание Значение
labelName Имя метки string (обязательно)

IncidentOwnerInfo

Имя Описание Значение
assignedTo Имя пользователя, которому назначен инцидент. строка
email Адрес электронной почты пользователя, которому назначен инцидент. строка
objectId Идентификатор объекта пользователя, которому назначен инцидент. строка
ownerType Тип владельца, которому назначен инцидент. "Группа"
"Неизвестно"
"Пользователь"
userPrincipalName Имя участника-пользователя пользователя, которому назначен инцидент. строка

AutomationRuleRunPlaybookAction

Имя Описание Значение
actionType Тип действия правила автоматизации. RunPlaybook (обязательно)
ActionConfiguration PlaybookActionProperties

PlaybookActionProperties

Имя Описание Значение
logicAppResourceId Идентификатор ресурса сборника схем. строка
tenantId Идентификатор клиента ресурса сборника схем. строка

AutomationRuleTriggeringLogic

Имя Описание Значение
условия Условия для оценки, чтобы определить, следует ли активировать правило автоматизации для заданного объекта. AutomationRuleCondition[]
expirationTimeUtc Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. строка
isEnabled Определяет, включено или отключено правило автоматизации. bool (обязательно)
triggersOn "Оповещения"
"Инциденты" (обязательно)
triggersWhen "Создано"
"Обновлено" (обязательно)

AutomationRuleCondition

Имя Описание Значение
conditionType Установка типа объекта Boolean
Свойство
PropertyArray
PropertyArrayChanged
PropertyChanged (обязательно)

BooleanConditionProperties

Имя Описание Значение
conditionType Boolean (обязательно)
conditionProperties AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

Имя Описание Значение
InnerConditions AutomationRuleCondition[]
оператор "И"
"Или"

PropertyConditionProperties

Имя Описание Значение
conditionType Property (обязательный)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Имя Описание Значение
оператор "Contains"
EndsWith
"Равно"
NotContains
NotEndsWith
NotEquals
NotStartsWith
StartsWith
propertyName Свойство для оценки в условии свойства правила автоматизации. AccountAadTenantId
AccountAadUserId
AccountNTDomain
AccountName
AccountObjectGuid
AccountPUID
AccountSid
AccountUPNSuffix
AlertAnalyticRuleIds
AlertProductNames
AzureResourceResourceId
AzureResourceSubscriptionId
CloudApplicationAppId
CloudApplicationAppName
DNSDomainName
FileDirectory
FileHashValue
"Имя_файла"
HostAzureID
HostNTDomain
HostName
HostNetBiosName
HostOSVersion
IPAddress
IncidentCustomDetailsKey
IncidentCustomDetailsValue
"IncidentDescription"
'IncidentLabel'
IncidentProviderName
IncidentRelatedAnalyticRuleIds
"IncidentSeverity"
"IncidentStatus"
"IncidentTactics"
"IncidentTitle"
IncidentUpdatedBySource
IoTDeviceId
IoTDeviceModel
IoTDeviceName
IoTDeviceOperatingSystem
'IoTDeviceType'
IoTDeviceVendor
MailMessageDeliveryAction
MailMessageDeliveryLocation
MailMessageP1Sender
MailMessageP2Sender
MailMessageRecipient
MailMessageSenderIP
MailMessageSubject
MailboxDisplayName
MailboxPrimaryAddress
MailboxUPN
MalwareCategory
"MalwareName"
ProcessCommandLine
ProcessId
RegistryKey
RegistryValueData
Url
propertyValues string[]

СвойствоArrayConditionProperties

Имя Описание Значение
conditionType PropertyArray (обязательно)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

Имя Описание Значение
arrayConditionType AnyItem
arrayType CustomDetailValues
CustomDetails
itemConditions AutomationRuleCondition[]

СвойствоArrayChangedConditionProperties

Имя Описание Значение
conditionType PropertyArrayChanged (обязательно)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

Имя Описание Значение
arrayType "Оповещения"
'Комментарии'
"Метки"
"Тактика"
changeType "Добавлено"

СвойствоChangedConditionProperties

Имя Описание Значение
conditionType PropertyChanged (обязательно)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

Имя Описание Значение
changeType ChangedFrom
"ChangedTo"
оператор "Contains"
EndsWith
"Равно"
NotContains
NotEndsWith
NotEquals
NotStartsWith
StartsWith
propertyName "IncidentOwner"
"IncidentSeverity"
"IncidentStatus"
propertyValues string[]

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
Создание нового правила автоматизации Microsoft Sentinel

Развертывание в Azure
В этом примере показано, как создать новое правило автоматизации в Microsoft Sentinel

Определение ресурса шаблона ARM

Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.

scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в шаблонах ARM.

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте следующий код JSON в шаблон.

{
  "type": "Microsoft.SecurityInsights/automationRules",
  "apiVersion": "2022-12-01-preview",
  "name": "string",
  "scope": "string",
  "etag": "string",
  "properties": {
    "actions": [
      {
        "order": "int",
        "actionType": "string"
        // For remaining properties, see AutomationRuleAction objects
      }
    ],
    "displayName": "string",
    "order": "int",
    "triggeringLogic": {
      "conditions": [
        {
          "conditionType": "string"
          // For remaining properties, see AutomationRuleCondition objects
        }
      ],
      "expirationTimeUtc": "string",
      "isEnabled": "bool",
      "triggersOn": "string",
      "triggersWhen": "string"
    }
  }
}

Объекты AutomationRuleAction

Задайте свойство actionType , чтобы указать тип объекта .

Для AddIncidentTask используйте:

  "actionType": "AddIncidentTask",
  "actionConfiguration": {
    "description": "string",
    "title": "string"
  }

Для ModifyProperties используйте:

  "actionType": "ModifyProperties",
  "actionConfiguration": {
    "classification": "string",
    "classificationComment": "string",
    "classificationReason": "string",
    "labels": [
      {
        "labelName": "string"
      }
    ],
    "owner": {
      "assignedTo": "string",
      "email": "string",
      "objectId": "string",
      "ownerType": "string",
      "userPrincipalName": "string"
    },
    "severity": "string",
    "status": "string"
  }

Для RunPlaybook используйте:

  "actionType": "RunPlaybook",
  "actionConfiguration": {
    "logicAppResourceId": "string",
    "tenantId": "string"
  }

Объекты AutomationRuleCondition

Задайте свойство conditionType , чтобы указать тип объекта.

Для boolean используйте:

  "conditionType": "Boolean",
  "conditionProperties": {
    "innerConditions": [
      {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ],
    "operator": "string"
  }

Для свойства используйте:

  "conditionType": "Property",
  "conditionProperties": {
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  }

Для PropertyArray используйте:

  "conditionType": "PropertyArray",
  "conditionProperties": {
    "arrayConditionType": "AnyItem",
    "arrayType": "string",
    "itemConditions": [
      {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

Для PropertyArrayChanged используйте:

  "conditionType": "PropertyArrayChanged",
  "conditionProperties": {
    "arrayType": "string",
    "changeType": "Added"
  }

Для PropertyChanged используйте:

  "conditionType": "PropertyChanged",
  "conditionProperties": {
    "changeType": "string",
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  }

Значения свойств

automationRules

Имя Описание Значение
тип Тип ресурса Microsoft.SecurityInsights/automationRules
версия_API Версия API ресурсов '2022-12-01-preview'
name имя ресурса. string (обязательно)
область Используется при создании ресурса расширения в области, отличной от области развертывания. Целевой ресурс

Для JSON задайте полное имя ресурса, к который будет применяться ресурс расширения .
etag Etag ресурса Azure строка
properties Свойства правила автоматизации AutomationRuleProperties (обязательно)

AutomationRuleProperties

Имя Описание Значение
actions Действия, выполняемые при активации правила автоматизации. AutomationRuleAction[] (обязательно)
displayName Отображаемое имя правила автоматизации. string (обязательно)
порядок Порядок выполнения правила автоматизации. int (обязательно)
triggeringLogic Описывает логику запуска правила автоматизации. AutomationRuleTriggeringLogic (обязательно)

AutomationRuleAction

Имя Описание Значение
порядок int (обязательно)
actionType Установка типа объекта AddIncidentTask
ModifyProperties
RunPlaybook (обязательно)

AutomationRuleAddIncidentTaskAction

Имя Описание Значение
actionType Тип действия правила автоматизации. AddIncidentTask (обязательно)
ActionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

Имя Описание Значение
description Описание задачи. строка
title Название задачи. string (обязательно)

AutomationRuleModifyPropertiesAction

Имя Описание Значение
actionType Тип действия правила автоматизации. ModifyProperties (обязательно)
ActionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Имя Описание Значение
классификация; Причина закрытия инцидента 'BenignPositive'
FalsePositive
'TruePositive'
"Не определено"
classificationComment Описывает причину закрытия инцидента. строка
classificationReason Причина классификации инцидента была закрыта "Неточные Данные"
'IncorrectAlertLogic'
"SuspiciousActivity"
"SuspiciousButExpected"
метки; Список меток для добавления в инцидент. IncidentLabel[]
владелец Сведения о пользователе, которому назначен инцидент IncidentOwnerInfo
severity Серьезность инцидента "Высокий"
"Информационный"
"Низкий"
"Средний"
status Состояние инцидента "Активный"
"Закрыто"
"Новый"

IncidentLabel

Имя Описание Значение
labelName Имя метки string (обязательно)

IncidentOwnerInfo

Имя Описание Значение
assignedTo Имя пользователя, которому назначен инцидент. строка
email Адрес электронной почты пользователя, которому назначен инцидент. строка
objectId Идентификатор объекта пользователя, которому назначен инцидент. строка
ownerType Тип владельца, которому назначен инцидент. "Группа"
"Неизвестно"
"Пользователь"
userPrincipalName Имя участника-пользователя пользователя, которому назначен инцидент. строка

AutomationRuleRunPlaybookAction

Имя Описание Значение
actionType Тип действия правила автоматизации. RunPlaybook (обязательно)
ActionConfiguration PlaybookActionProperties

PlaybookActionProperties

Имя Описание Значение
logicAppResourceId Идентификатор ресурса сборника схем. строка
tenantId Идентификатор клиента ресурса сборника схем. строка

AutomationRuleTriggeringLogic

Имя Описание Значение
условия Условия для оценки, чтобы определить, следует ли запускать правило автоматизации для заданного объекта. AutomationRuleCondition[]
expirationTimeUtc Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. строка
isEnabled Определяет, включено или отключено правило автоматизации. bool (обязательно)
triggersOn "Оповещения"
"Инциденты" (обязательно)
triggersWhen "Создано"
"Обновлено" (обязательно)

AutomationRuleCondition

Имя Описание Значение
conditionType Установка типа объекта Boolean
Свойство
PropertyArray
PropertyArrayChanged
PropertyChanged (обязательно)

BooleanConditionProperties

Имя Описание Значение
conditionType Boolean (обязательно)
свойства conditionСвойства AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

Имя Описание Значение
innerConditions AutomationRuleCondition[]
оператор 'And'
"Или"

PropertyConditionProperties

Имя Описание Значение
conditionType 'Property' (обязательный)
свойства conditionСвойства AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Имя Описание Значение
оператор "Contains"
'EndsWith'
"Equals"
NotContains
NotEndsWith
'NotEquals'
NotStartsWith
'StartsWith'
propertyName Свойство для оценки в условии свойства правила автоматизации. AccountAadTenantId
AccountAadUserId
AccountNTDomain
AccountName
AccountObjectGuid
AccountPUID
AccountSid
AccountUPNSuffix
AlertAnalyticRuleIds
AlertProductNames
AzureResourceResourceId
AzureResourceSubscriptionId
CloudApplicationAppId
CloudApplicationAppName
DNSDomainName
FileDirectory
'FileHashValue'
"Имя_файла"
HostAzureID
HostNTDomain
"Имя узла"
HostNetBiosName
HostOSVersion
IPAddress
IncidentCustomDetailsKey
IncidentCustomDetailsValue
'IncidentDescription'
'IncidentLabel'
IncidentProviderName
IncidentRelatedAnalyticRuleIds
"IncidentSeverity"
"IncidentStatus"
'IncidentTactics'
'IncidentTitle'
IncidentUpdatedBySource
IoTDeviceId
IoTDeviceModel
IoTDeviceName
IoTDeviceOperatingSystem
IoTDeviceType
IoTDeviceVendor
MailMessageDeliveryAction
MailMessageDeliveryLocation
'MailMessageP1Sender'
'MailMessageP2Sender'
'MailMessageRecipient'
'MailMessageSenderIP'
MailMessageSubject
MailboxDisplayName
MailboxPrimaryAddress
MailboxUPN
MalwareCategory
"MalwareName"
ProcessCommandLine
ProcessId
RegistryKey
RegistryValueData
Url
propertyValues string[]

СвойствоArrayConditionProperties

Имя Описание Значение
conditionType PropertyArray (обязательно)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

Имя Описание Значение
arrayConditionType AnyItem
arrayType CustomDetailValues
CustomDetails
itemConditions AutomationRuleCondition[]

СвойствоArrayChangedConditionProperties

Имя Описание Значение
conditionType PropertyArrayChanged (обязательно)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

Имя Описание Значение
arrayType "Оповещения"
'Комментарии'
"Метки"
"Тактика"
changeType "Добавлено"

СвойствоChangedConditionProperties

Имя Описание Значение
conditionType PropertyChanged (обязательно)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

Имя Описание Значение
changeType ChangedFrom
"ChangedTo"
оператор "Contains"
EndsWith
"Равно"
NotContains
NotEndsWith
NotEquals
NotStartsWith
StartsWith
propertyName "IncidentOwner"
"IncidentSeverity"
"IncidentStatus"
propertyValues string[]

Шаблоны быстрого запуска

Следующие шаблоны быстрого запуска развертывают этот тип ресурса.

Шаблон Описание
Создание нового правила автоматизации Microsoft Sentinel

Развертывание в Azure
В этом примере показано, как создать новое правило автоматизации в Microsoft Sentinel

Определение ресурса Terraform (поставщик AzAPI)

Тип ресурса automationRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.

parent_id Используйте свойство этого ресурса, чтобы задать область для этого ресурса.

Список измененных свойств в каждой версии API см. в журнале изменений.

Формат ресурсов

Чтобы создать ресурс Microsoft.SecurityInsights/automationRules, добавьте в шаблон следующую terraform.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/automationRules@2022-12-01-preview"
  name = "string"
  parent_id = "string"
  body = jsonencode({
    properties = {
      actions = [
        {
          order = int
          actionType = "string"
          // For remaining properties, see AutomationRuleAction objects
        }
      ]
      displayName = "string"
      order = int
      triggeringLogic = {
        conditions = [
          {
            conditionType = "string"
            // For remaining properties, see AutomationRuleCondition objects
          }
        ]
        expirationTimeUtc = "string"
        isEnabled = bool
        triggersOn = "string"
        triggersWhen = "string"
      }
    }
    etag = "string"
  })
}

Объекты AutomationRuleAction

Задайте свойство actionType , чтобы указать тип объекта .

Для AddIncidentTask используйте:

  actionType = "AddIncidentTask"
  actionConfiguration = {
    description = "string"
    title = "string"
  }

Для ModifyProperties используйте:

  actionType = "ModifyProperties"
  actionConfiguration = {
    classification = "string"
    classificationComment = "string"
    classificationReason = "string"
    labels = [
      {
        labelName = "string"
      }
    ]
    owner = {
      assignedTo = "string"
      email = "string"
      objectId = "string"
      ownerType = "string"
      userPrincipalName = "string"
    }
    severity = "string"
    status = "string"
  }

Для RunPlaybook используйте:

  actionType = "RunPlaybook"
  actionConfiguration = {
    logicAppResourceId = "string"
    tenantId = "string"
  }

Объекты AutomationRuleCondition

Задайте свойство conditionType , чтобы указать тип объекта.

Для boolean используйте:

  conditionType = "Boolean"
  conditionProperties = {
    innerConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator = "string"
  }

Для свойства используйте:

  conditionType = "Property"
  conditionProperties = {
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }

Для PropertyArray используйте:

  conditionType = "PropertyArray"
  conditionProperties = {
    arrayConditionType = "AnyItem"
    arrayType = "string"
    itemConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

Для PropertyArrayChanged используйте:

  conditionType = "PropertyArrayChanged"
  conditionProperties = {
    arrayType = "string"
    changeType = "Added"
  }

Для PropertyChanged используйте:

  conditionType = "PropertyChanged"
  conditionProperties = {
    changeType = "string"
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }

Значения свойств

automationRules

Имя Описание Значение
тип Тип ресурса "Microsoft.SecurityInsights/automationRules@2022-12-01-preview"
name имя ресурса. string (обязательно)
parent_id Идентификатор ресурса, к который применяется этот ресурс расширения. string (обязательно)
etag Etag ресурса Azure строка
properties Свойства правила автоматизации AutomationRuleProperties (обязательно)

AutomationRuleProperties

Имя Описание Значение
actions Действия, выполняемые при активации правила автоматизации. AutomationRuleAction[] (обязательно)
displayName Отображаемое имя правила автоматизации. string (обязательно)
порядок Порядок выполнения правила автоматизации. int (обязательно)
triggeringLogic Описывает логику запуска правила автоматизации. AutomationRuleTriggeringLogic (обязательно)

AutomationRuleAction

Имя Описание Значение
порядок int (обязательно)
actionType Установка типа объекта AddIncidentTask
ModifyProperties
RunPlaybook (обязательно)

AutomationRuleAddIncidentTaskAction

Имя Описание Значение
actionType Тип действия правила автоматизации. "AddIncidentTask" (обязательно)
ActionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

Имя Описание Значение
description Описание задачи. строка
title Название задачи. string (обязательно)

AutomationRuleModifyPropertiesAction

Имя Описание Значение
actionType Тип действия правила автоматизации. "ModifyProperties" (обязательно)
ActionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

Имя Описание Значение
классификация; Причина закрытия инцидента "BenignPositive"
"FalsePositive"
"TruePositive"
"Не определено"
classificationComment Описывает причину закрытия инцидента. строка
classificationReason Причина классификации инцидента была закрыта "Неточные Данные"
"IncorrectAlertLogic"
"SuspiciousActivity"
"SuspiciousButExpected"
метки; Список меток для добавления в инцидент. IncidentLabel[]
владелец Сведения о пользователе, которому назначен инцидент IncidentOwnerInfo
severity Серьезность инцидента "High"
"Информационный"
"Low"
"Средний"
status Состояние инцидента "Активный"
"Закрыто"
"Новый"

IncidentLabel

Имя Описание Значение
labelName Имя метки string (обязательно)

IncidentOwnerInfo

Имя Описание Значение
assignedTo Имя пользователя, которому назначен инцидент. строка
email Адрес электронной почты пользователя, которому назначен инцидент. строка
objectId Идентификатор объекта пользователя, которому назначен инцидент. строка
ownerType Тип владельца, которому назначен инцидент. "Группа"
"Неизвестно"
"Пользователь".
userPrincipalName Имя участника-пользователя пользователя, которому назначен инцидент. строка

AutomationRuleRunPlaybookAction

Имя Описание Значение
actionType Тип действия правила автоматизации. RunPlaybook (обязательно)
ActionConfiguration PlaybookActionProperties

PlaybookActionProperties

Имя Описание Значение
logicAppResourceId Идентификатор ресурса сборника схем. строка
tenantId Идентификатор клиента ресурса сборника схем. строка

AutomationRuleTriggeringLogic

Имя Описание Значение
условия Условия для оценки, чтобы определить, следует ли запускать правило автоматизации для заданного объекта. AutomationRuleCondition[]
expirationTimeUtc Определяет, когда правило автоматизации должно автоматически истечь и будет отключено. строка
isEnabled Определяет, включено или отключено правило автоматизации. bool (обязательно)
triggersOn "Оповещения"
"Инциденты" (обязательно)
triggersWhen "Создано"
"Обновлено" (обязательно)

AutomationRuleCondition

Имя Описание Значение
conditionType Установка типа объекта Boolean
Свойство
PropertyArray
PropertyArrayChanged
PropertyChanged (обязательно)

BooleanConditionProperties

Имя Описание Значение
conditionType "Boolean" (обязательно)
conditionProperties AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

Имя Описание Значение
InnerConditions AutomationRuleCondition[]
оператор "And"
"Или"

PropertyConditionProperties

Имя Описание Значение
conditionType "Property" (обязательный)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

Имя Описание Значение
оператор "Содержит"
"EndsWith"
"Равно"
"NotContains"
NotEndsWith
"NotEquals"
NotStartsWith
"StartsWith"
propertyName Свойство для оценки в условии свойства правила автоматизации. AccountAadTenantId
AccountAadUserId
AccountNTDomain
"AccountName"
AccountObjectGuid
AccountPUID
AccountSid
AccountUPNSuffix
AlertAnalyticRuleIds
AlertProductNames
AzureResourceResourceId
AzureResourceSubscriptionId
CloudApplicationAppId
CloudApplicationAppName
"DNSDomainName"
FileDirectory
FileHashValue
"FileName"
HostAzureID
HostNTDomain
"HostName"
HostNetBiosName
HostOSVersion
IPAddress
IncidentCustomDetailsKey
IncidentCustomDetailsValue
"IncidentDescription"
"IncidentLabel"
"IncidentProviderName"
IncidentRelatedAnalyticRuleIds
"IncidentSeverity"
"IncidentStatus"
"IncidentTactics"
"IncidentTitle"
IncidentUpdatedBySource
IoTDeviceId
IoTDeviceModel
IoTDeviceName
IoTDeviceOperatingSystem
"IoTDeviceType"
"IoTDeviceVendor"
MailMessageDeliveryAction
MailMessageDeliveryLocation
MailMessageP1Sender
MailMessageP2Sender
MailMessageRecipient
MailMessageSenderIP
MailMessageSubject
"MailboxDisplayName"
MailboxPrimaryAddress
"MailboxUPN"
"MalwareCategory"
"MalwareName"
ProcessCommandLine
"ProcessId"
RegistryKey
RegistryValueData
"URL- адрес"
propertyValues string[]

СвойствоArrayConditionProperties

Имя Описание Значение
conditionType PropertyArray (обязательно)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

Имя Описание Значение
arrayConditionType "AnyItem"
arrayType CustomDetailValues
CustomDetails
itemConditions AutomationRuleCondition[]

СвойствоArrayChangedConditionProperties

Имя Описание Значение
conditionType PropertyArrayChanged (обязательно)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

Имя Описание Значение
arrayType "Оповещения"
"Комментарии"
"Метки"
"Тактика"
changeType "Добавлено"

СвойствоChangedConditionProperties

Имя Описание Значение
conditionType "PropertyChanged" (обязательно)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

Имя Описание Значение
changeType "ChangedFrom"
"ChangedTo"
оператор "Содержит"
"EndsWith"
"Равно"
"NotContains"
NotEndsWith
"NotEquals"
NotStartsWith
"StartsWith"
propertyName "IncidentOwner"
"IncidentSeverity"
"IncidentStatus"
propertyValues string[]