Microsoft.SecurityInsights alertRules
- Актуальная
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01 — предварительная версия
- 2021-09-01-preview
- 2021-03-01-preview
- 01.01.2020
- 01.01.2019
Определение ресурса Bicep
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в Bicep.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2023-02-01-preview' = {
name: 'string'
kind: 'string'
scope: resourceSymbolicName
etag: 'string'
// For remaining properties, see alertRules objects
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
scenarioExclusionPatterns: [
{
dateAddedInUTC: 'string'
exclusionPattern: 'string'
}
]
sourceSettings: [
{
enabled: bool
sourceName: 'string'
sourceSubTypes: [
{
enabled: bool
severityFilters: {
filters: [
{
enabled: bool
severity: 'string'
}
]
}
sourceSubTypeName: 'string'
}
]
}
]
}
Для MicrosoftSecurityIncidentCreation используйте:
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
Для MLBehaviorAnalytics используйте:
kind: 'MLBehaviorAnalytics'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Для NRT используйте:
kind: 'NRT'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
sentinelEntitiesMappings: [
{
columnName: 'string'
}
]
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
}
Для параметра Scheduled используйте:
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
sentinelEntitiesMappings: [
{
columnName: 'string'
}
]
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
Для ThreatIntelligence используйте:
kind: 'ThreatIntelligence'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Значения свойств
alertRules
| Имя | Описание | Значение |
|---|---|---|
| name | имя ресурса. | string (обязательно) |
| kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
| область | Используется при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для Bicep задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения. |
| etag | Etag ресурса Azure | строка |
FusionAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | Fusion (обязательно) |
| properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| scenarioExclusionPatterns | Конфигурация для исключения сценариев при обнаружении fusion. | FusionScenarioExclusionPattern[] |
| sourceSettings | Конфигурация для всех поддерживаемых исходных сигналов при обнаружении fusion. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| Имя | Описание | Значение |
|---|---|---|
| dateAddedInUTC | DateTime, когда шаблон исключения сценария добавляется в формате UTC. | string (обязательно) |
| exclusionPattern | Шаблон исключения сценария. | string (обязательно) |
FusionSourceSettings
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включен или отключен этот исходный сигнал при обнаружении Fusion. | bool (обязательно) |
| sourceName | Имя исходного сигнала Fusion. Поддерживаемые значения см. в шаблоне правила генерации оповещений Fusion. | string (обязательно) |
| sourceSubTypes | Конфигурация для всех исходных подтипов в этом исходном сигнале, используемом при обнаружении fusion. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включен или отключен этот подтип источника в исходном сигнале при обнаружении Fusion. | bool (обязательно) |
| СерьезностьФильтры | Конфигурация серьезности для исходного подтипа, используемого при обнаружении fusion. | FusionSubTypeSeverityFilter (обязательно) |
| sourceSubTypeName | Имя исходного подтипа в заданном исходном сигнале при обнаружении Fusion. Поддерживаемые значения см. в шаблоне правила генерации оповещений Fusion. | string (обязательно) |
FusionSubTypeSeverityFilter
| Имя | Описание | Значение |
|---|---|---|
| filters | Индивидуальные параметры конфигурации серьезности для заданного исходного подтипа, используемые при обнаружении Fusion. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включена или отключена эта серьезность для данного подтипа источника, используемого при обнаружении Fusion. | bool (обязательно) |
| severity | Серьезность для заданного подтипа источника, используемого при обнаружении Fusion. | "Высокий" "Информационный" "Низкий" "Средний" (обязательный) |
MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться случаи | string[] |
| displayNamesFilter | отображаемые имена оповещений, на которых будут создаваться случаи | string[] |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| productFilter | ProductName оповещений, для которого будут создаваться обращения. | Защита идентификации Azure Active Directory "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" 'Центр безопасности Azure' Microsoft Cloud App Security "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
| SeveritiesFilter | уровни серьезности оповещений, по которым будут создаваться обращения; | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
MLBehaviorAnalyticsAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | MLBehaviorAnalytics (обязательно) |
| properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "NRT" (обязательно) |
| properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов для подключения к оповещению | объект |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка (обязательно) |
| sentinelEntitiesMappings | Массив сопоставлений сущностей sentinel правила генерации оповещений | SentinelEntityMapping[] |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" (обязательно) |
| подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" CommandAndControl CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" PreAttack 'PrivilegeEscalation' "Разведывательная атака" ResourceDevelopment |
| Методы | Методы правила генерации оповещений | string[] |
| TemplateVersion | Версия шаблона правила генерации оповещений, используемого для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
| Имя | Описание | Значение |
|---|---|---|
| alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
| alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
| alertDynamicProperties | Список дополнительных динамических свойств для переопределения | AlertPropertyMapping[] |
| alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
| alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
AlertPropertyMapping
| Имя | Описание | Значение |
|---|---|---|
| alertProperty | Свойство alert версии 3 | AlertLink "ConfidenceLevel" 'ConfidenceScore' "ExtendedLinks" 'ProductComponentName' 'ProductName' "ProviderName" 'RemediationSteps' 'Techniques' |
| значение | имя столбца, используемого для переопределения этого свойства; | строка |
EntityMapping
| Имя | Описание | Значение |
|---|---|---|
| entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
| fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с идентификатором; | строка |
| идентификатор | идентификатор сущности версии 3 | строка |
EventGroupingSettings
| Имя | Описание | Значение |
|---|---|---|
| aggregationKind | Типы агрегирования событий | AlertPerResult 'SingleAlert' |
IncidentConfiguration
| Имя | Описание | Значение |
|---|---|---|
| createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
| Имя | Описание | Значение |
|---|---|---|
| Включено | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: DisplayName "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (если выбран параметр matchingMethod). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
| groupByEntities | Список типов сущностей для группировки (если выбран параметр matchingMethod). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication DNS "Файл" FileHash "Узел" IP-адрес MailCluster MailMessage "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. URL-адрес |
| lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности просмотра (в формате длительности ISO 8601) | строка (обязательно) |
| matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | AllEntities 'AnyAlert' "Выбрано" (обязательно) |
| reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
SentinelEntityMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с SentinelEntities; | строка |
ScheduledAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
| properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов для подключения к оповещению | object |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| queryFrequency | Частота (в формате длительности ISO 8601) для выполнения этого правила генерации оповещений. | строка |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
| sentinelEntitiesMappings | Массив сопоставлений сущностей sentinel правила генерации оповещений | SentinelEntityMapping[] |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" CommandAndControl CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" PreAttack 'PrivilegeEscalation' "Разведывательная атака" ResourceDevelopment |
| Методы | Методы правила генерации оповещений | string[] |
| TemplateVersion | Версия шаблона правила генерации оповещений, используемого для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Равно" 'GreaterThan' "LessThan" 'NotEqual' |
| triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
ThreatIntelligenceAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | ThreatIntelligence (обязательно) |
| properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
Создает правило запланированной аналитики Microsoft Sentinel |
В этом примере показано, как создать новое правило аналитики по расписанию в Microsoft Sentinel |
Определение ресурса шаблона ARM
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в шаблонах ARM.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.SecurityInsights/alertRules",
"apiVersion": "2023-02-01-preview",
"name": "string",
"kind": "string",
"scope": "string",
"etag": "string",
// For remaining properties, see alertRules objects
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool",
"scenarioExclusionPatterns": [
{
"dateAddedInUTC": "string",
"exclusionPattern": "string"
}
],
"sourceSettings": [
{
"enabled": "bool",
"sourceName": "string",
"sourceSubTypes": [
{
"enabled": "bool",
"severityFilters": {
"filters": [
{
"enabled": "bool",
"severity": "string"
}
]
},
"sourceSubTypeName": "string"
}
]
}
]
}
Для MicrosoftSecurityIncidentCreation используйте:
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
Для MLBehaviorAnalytics используйте:
"kind": "MLBehaviorAnalytics",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Для NRT используйте:
"kind": "NRT",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"sentinelEntitiesMappings": [
{
"columnName": "string"
}
],
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string"
}
Для параметра Scheduled используйте:
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"sentinelEntitiesMappings": [
{
"columnName": "string"
}
],
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
Для ThreatIntelligence используйте:
"kind": "ThreatIntelligence",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Значения свойств
alertRules
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | Microsoft.SecurityInsights/alertRules |
| версия_API | Версия API ресурсов | '2023-02-01-preview' |
| name | имя ресурса. | строка (обязательно) |
| kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
| область | Используйте при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для JSON задайте значение полного имени ресурса, к который будет применяться ресурс расширения . |
| etag | Etag ресурса Azure | строка |
FusionAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | Fusion (обязательно) |
| properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| scenarioExclusionPatterns | Настройка для исключения сценариев при обнаружении fusion. | FusionScenarioExclusionPattern[] |
| sourceSettings | Конфигурация для всех поддерживаемых исходных сигналов при обнаружении fusion. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| Имя | Описание | Значение |
|---|---|---|
| dateAddedInUTC | Дата и время, когда шаблон исключения сценария добавляется в формате UTC. | строка (обязательно) |
| exclusionPattern | Шаблон исключения сценария. | строка (обязательно) |
FusionSourceSettings
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включен или отключен этот исходный сигнал при обнаружении Fusion. | bool (обязательно) |
| sourceName | Имя исходного сигнала Fusion. Поддерживаемые значения см. в статье Шаблон правила генерации оповещений Fusion. | строка (обязательно) |
| sourceSubTypes | Конфигурация для всех исходных подтипов в этом исходном сигнале, используемом при обнаружении fusion. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включен или отключен этот подтип источника в исходном сигнале при обнаружении Fusion. | bool (обязательно) |
| severityFilters | Конфигурация серьезности для подтипа источника, используемого при обнаружении fusion. | FusionSubTypeSeverityFilter (обязательно) |
| sourceSubTypeName | Имя подтипа источника в заданном исходном сигнале при обнаружении Fusion. Поддерживаемые значения см. в статье Шаблон правила генерации оповещений Fusion. | строка (обязательно) |
FusionSubTypeSeverityFilter
| Имя | Описание | Значение |
|---|---|---|
| filters | Отдельные параметры конфигурации серьезности для заданного исходного подтипа, используемого при обнаружении Fusion. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включена или отключена эта серьезность для данного исходного подтипа, используемого при обнаружении Fusion. | bool (обязательно) |
| severity | Серьезность для заданного исходного подтипа, используемого при обнаружении Fusion. | "Высокий" "Информационный" "Низкий" "Средний" (обязательный) |
MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться случаи | string[] |
| displayNamesFilter | отображаемые имена оповещений, на которых будут создаваться случаи | string[] |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| productFilter | ProductName оповещений, для которого будут создаваться обращения. | Защита идентификации Azure Active Directory "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" 'Центр безопасности Azure' Microsoft Cloud App Security "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
| SeveritiesFilter | уровни серьезности оповещений, по которым будут создаваться обращения; | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
MLBehaviorAnalyticsAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "MLBehaviorAnalytics" (обязательно) |
| properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "NRT" (обязательно) |
| properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка (обязательно) |
| sentinelEntitiesMappings | Массив сопоставлений сущностей sentinel правила генерации оповещений | SentinelEntityMapping[] |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" (обязательно) |
| подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" CommandAndControl CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" PreAttack 'PrivilegeEscalation' "Разведывательная атака" ResourceDevelopment |
| Методы | Методы правила генерации оповещений | string[] |
| TemplateVersion | Версия шаблона правила генерации оповещений, используемого для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
| Имя | Описание | Значение |
|---|---|---|
| alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
| alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения. | строка |
| alertDynamicProperties | Список дополнительных динамических свойств для переопределения | AlertPropertyMapping[] |
| alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
| alertTacticsColumnName | имя столбца для получения тактики генерации оповещений | строка |
AlertPropertyMapping
| Имя | Описание | Значение |
|---|---|---|
| alertProperty | Свойство оповещения версии 3 | AlertLink "ConfidenceLevel" "ConfidenceScore" ExtendedLinks ProductComponentName "ProductName" ProviderName 'RemediationSteps' "Техники" |
| значение | имя столбца, используемого для переопределения этого свойства; | строка |
EntityMapping
| Имя | Описание | Значение |
|---|---|---|
| entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
| fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с идентификатором; | строка |
| идентификатор | идентификатор сущности версии 3 | строка |
EventGroupingSettings
| Имя | Описание | Значение |
|---|---|---|
| aggregationKind | Типы агрегирования событий | AlertPerResult 'SingleAlert' |
IncidentConfiguration
| Имя | Описание | Значение |
|---|---|---|
| createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
| Имя | Описание | Значение |
|---|---|---|
| Включено | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: DisplayName "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
| groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
| lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
| matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | 'AllEntities' 'AnyAlert' "Выбрано" (обязательно) |
| reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
SentinelEntityMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с SentinelEntities; | строка |
ScheduledAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
| properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| queryFrequency | Частота выполнения этого правила генерации оповещений (в формате длительности ISO 8601). | строка |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
| sentinelEntitiesMappings | Массив сопоставлений сущностей Sentinel правила генерации оповещений | SentinelEntityMapping[] |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation 'Разведывательная' ResourceDevelopment |
| Методы | Методы правила генерации оповещений | string[] |
| templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Equal" 'GreaterThan' "LessThan" 'NotEqual' |
| triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
ThreatIntelligenceAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | ThreatIntelligence (обязательно) |
| properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
| Шаблон | Описание |
|---|---|
| Создает правило запланированной аналитики Microsoft Sentinel |
В этом примере показано, как создать новое правило аналитики по расписанию в Microsoft Sentinel |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
parent_id Используйте свойство этого ресурса, чтобы задать область для этого ресурса.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующую terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/alertRules@2023-02-01-preview"
name = "string"
parent_id = "string"
// For remaining properties, see alertRules objects
body = jsonencode({
kind = "string"
etag = "string"
})
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
scenarioExclusionPatterns = [
{
dateAddedInUTC = "string"
exclusionPattern = "string"
}
]
sourceSettings = [
{
enabled = bool
sourceName = "string"
sourceSubTypes = [
{
enabled = bool
severityFilters = {
filters = [
{
enabled = bool
severity = "string"
}
]
}
sourceSubTypeName = "string"
}
]
}
]
}
Для MicrosoftSecurityIncidentCreation используйте:
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
Для MLBehaviorAnalytics используйте:
kind = "MLBehaviorAnalytics"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Для NRT используйте:
kind = "NRT"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
sentinelEntitiesMappings = [
{
columnName = "string"
}
]
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
}
Для параметра Scheduled используйте:
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
sentinelEntitiesMappings = [
{
columnName = "string"
}
]
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
Для ThreatIntelligence используйте:
kind = "ThreatIntelligence"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Значения свойств
alertRules
| Имя | Описание | Значение |
|---|---|---|
| тип | Тип ресурса | "Microsoft.SecurityInsights/alertRules@2023-02-01-preview" |
| name | имя ресурса. | строка (обязательно) |
| parent_id | Идентификатор ресурса, к который применяется этот ресурс расширения. | строка (обязательно) |
| kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT Назначенные ThreatIntelligence (обязательно) |
| etag | Etag ресурса Azure | строка |
FusionAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | Fusion (обязательно) |
| properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| scenarioExclusionPatterns | Настройка для исключения сценариев при обнаружении fusion. | FusionScenarioExclusionPattern[] |
| sourceSettings | Конфигурация для всех поддерживаемых исходных сигналов при обнаружении fusion. | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| Имя | Описание | Значение |
|---|---|---|
| dateAddedInUTC | DateTime, когда шаблон исключения сценария добавляется в формате UTC. | string (обязательно) |
| exclusionPattern | Шаблон исключения сценария. | string (обязательно) |
FusionSourceSettings
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включен или отключен этот исходный сигнал при обнаружении Fusion. | bool (обязательно) |
| sourceName | Имя исходного сигнала Fusion. Поддерживаемые значения см. в шаблоне правила генерации оповещений Fusion. | string (обязательно) |
| sourceSubTypes | Конфигурация для всех исходных подтипов в этом исходном сигнале, используемом при обнаружении fusion. | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включен или отключен этот подтип источника в исходном сигнале при обнаружении Fusion. | bool (обязательно) |
| СерьезностьФильтры | Конфигурация серьезности для исходного подтипа, используемого при обнаружении fusion. | FusionSubTypeSeverityFilter (обязательно) |
| sourceSubTypeName | Имя исходного подтипа в заданном исходном сигнале при обнаружении Fusion. Поддерживаемые значения см. в шаблоне правила генерации оповещений Fusion. | string (обязательно) |
FusionSubTypeSeverityFilter
| Имя | Описание | Значение |
|---|---|---|
| filters | Индивидуальные параметры конфигурации серьезности для заданного исходного подтипа, используемые при обнаружении Fusion. | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| Имя | Описание | Значение |
|---|---|---|
| Включено | Определяет, включена или отключена эта серьезность для данного подтипа источника, используемого при обнаружении Fusion. | bool (обязательно) |
| severity | Серьезность для заданного подтипа источника, используемого при обнаружении Fusion. | "High" "Информационный" "Low" "Средний" (обязательно) |
MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться случаи | string[] |
| displayNamesFilter | отображаемые имена оповещений, на которых будут создаваться случаи | string[] |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| productFilter | ProductName оповещений, для которого будут создаваться обращения. | "Защита идентификации Azure Active Directory" "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" "Центр безопасности Azure" "Microsoft Cloud App Security" "Microsoft Defender Advanced Threat Protection" "Office 365 Advanced Threat Protection" (обязательно) |
| SeveritiesFilter | уровни серьезности оповещений, по которым будут создаваться обращения; | Массив строк, содержащий любой из: "High" "Информационный" "Low" "Средний" |
MLBehaviorAnalyticsAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "MLBehaviorAnalytics" (обязательно) |
| properties | Свойства правила генерации оповещений MLBehaviorAnalytics | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
NrtAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "NRT" (обязательно) |
| properties | Свойства правила генерации оповещений NRT | NrtAlertRuleProperties |
NrtAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов для подключения к оповещению | объект |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка (обязательно) |
| sentinelEntitiesMappings | Массив сопоставлений сущностей sentinel правила генерации оповещений | SentinelEntityMapping[] |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "High" "Информационный" "Low" "Средний" (обязательный) |
| подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" "CommandAndControl" CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess "LateralMovement" "Сохраняемость" "PreAttack" PrivilegeEscalation "Разведывательная атака" "ResourceDevelopment" |
| Методы | Методы правила генерации оповещений | string[] |
| templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
AlertDetailsOverride
| Имя | Описание | Значение |
|---|---|---|
| alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
| alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
| alertDynamicProperties | Список дополнительных динамических свойств для переопределения | AlertPropertyMapping[] |
| alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
| alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
AlertPropertyMapping
| Имя | Описание | Значение |
|---|---|---|
| alertProperty | Свойство alert версии 3 | AlertLink "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" "ProductComponentName" "ProductName" "ProviderName" "RemediationSteps" "Техники" |
| значение | имя столбца, используемого для переопределения этого свойства; | строка |
EntityMapping
| Имя | Описание | Значение |
|---|---|---|
| entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" "AzureResource" CloudApplication "DNS" "Файл" "FileHash" "Узел" "IP" "MailCluster" "MailMessage" "Mailbox" "Вредоносные программы" "Процесс" RegistryKey "RegistryValue" "SecurityGroup" "SubmissionMail" "URL-адрес" |
| fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с идентификатором; | строка |
| идентификатор | идентификатор сущности версии 3 | строка |
EventGroupingSettings
| Имя | Описание | Значение |
|---|---|---|
| aggregationKind | Типы агрегирования событий | AlertPerResult "SingleAlert" |
IncidentConfiguration
| Имя | Описание | Значение |
|---|---|---|
| createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
| Имя | Описание | Значение |
|---|---|---|
| Включено | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: "DisplayName" "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
| groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" "AzureResource" CloudApplication "DNS" "Файл" "FileHash" "Узел" "IP" "MailCluster" "MailMessage" "Mailbox" "Вредоносные программы" "Процесс" RegistryKey "RegistryValue" "SecurityGroup" "SubmissionMail" "URL-адрес" |
| lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
| matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | "AllEntities" "AnyAlert" "Выбрано" (обязательно) |
| reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
SentinelEntityMapping
| Имя | Описание | Значение |
|---|---|---|
| columnName | имя столбца, сопоставляемого с SentinelEntities; | строка |
ScheduledAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
| properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
| description | Описание правила генерации оповещений. | строка |
| displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
| entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
| query | Запрос, который создает оповещения для этого правила. | строка |
| queryFrequency | Частота (в формате длительности ISO 8601) для выполнения этого правила генерации оповещений. | строка |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
| sentinelEntitiesMappings | Массив сопоставлений сущностей sentinel правила генерации оповещений | SentinelEntityMapping[] |
| severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "High" "Информационный" "Low" "Средний" |
| подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
| Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" "CommandAndControl" CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess "LateralMovement" "Сохраняемость" "PreAttack" PrivilegeEscalation "Разведывательная атака" "ResourceDevelopment" |
| Методы | Методы правила генерации оповещений | string[] |
| TemplateVersion | Версия шаблона правила генерации оповещений, используемого для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Равно" "GreaterThan" "LessThan" "NotEqual" |
| triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
ThreatIntelligenceAlertRule
| Имя | Описание | Значение |
|---|---|---|
| kind | Тип правила генерации оповещений | ThreatIntelligence (обязательно) |
| properties | Свойства правила генерации оповещений аналитики угроз | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| Имя | Описание | Значение |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по