Automations - Update
Обновляет автоматизацию безопасности
PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/automations/{automationName}?api-version=2023-12-01-previewПараметры URI
| Имя | В | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
automation
|
path | True |
string |
Имя службы автоматизации безопасности. |
|
resource
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[-\w\._\(\)]+$ |
Имя группы ресурсов в подписке пользователя. Имя не учитывает регистр. |
|
subscription
|
path | True |
string pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$ |
Идентификатор подписки Azure |
|
api-version
|
query | True |
string |
Версия API для операции |
Текст запроса
| Имя | Тип | Описание |
|---|---|---|
| properties.actions | AutomationAction[]: |
Коллекция действий, которые активируются, если все настроенные оценки правил в пределах по крайней мере одного набора правил имеют значение true. |
| properties.description |
string |
Описание службы автоматизации безопасности. |
| properties.isEnabled |
boolean |
Указывает, включена ли автоматизация безопасности. |
| properties.scopes |
Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям. |
|
| properties.sources |
Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности. |
|
| tags |
object |
Список пар значений ключей, описывающих ресурс. |
Ответы
| Имя | Тип | Описание |
|---|---|---|
| 200 OK |
ХОРОШО |
|
| Other Status Codes |
Ответ на ошибку, описывающий причину сбоя операции. |
Безопасность
azure_auth
Поток OAuth2 Azure Active Directory
Тип:
oauth2
Flow:
implicit
URL-адрес авторизации:
https://login.microsoftonline.com/common/oauth2/authorize
Области
| Имя | Описание |
|---|---|
| user_impersonation | олицетворения учетной записи пользователя |
Примеры
Update a security automation
Образец запроса
PATCH https://management.azure.com/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation?api-version=2023-12-01-preview
{
"tags": {
"Example": "exampleTag"
},
"properties": {
"description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
"scopes": [
{
"description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
"scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
}
],
"sources": [
{
"eventSource": "Assessments"
}
],
"actions": [
{
"logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
"actionType": "LogicApp",
"uri": "https://exampleTriggerUri1.com"
}
]
}
}
Пример ответа
{
"id": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation",
"name": "exampleAutomation",
"type": "Microsoft.Security/automations",
"location": "Central US",
"etag": "new etag value",
"tags": {},
"properties": {
"description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
"isEnabled": true,
"scopes": [
{
"description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
"scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
}
],
"sources": [
{
"eventSource": "Assessments",
"ruleSets": []
}
],
"actions": [
{
"logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
"actionType": "LogicApp"
}
]
}
}Определения
| Имя | Описание |
|---|---|
| Automation |
Ресурс автоматизации безопасности. |
|
Automation |
Целевой концентратор событий, в который будут экспортированы данные события. Дополнительные сведения о возможностях непрерывного экспорта в Microsoft Defender для облака см. в https://aka.ms/ASCExportLearnMore |
|
Automation |
Действие приложения логики, которое должно быть активировано. Дополнительные сведения о возможностях автоматизации рабочих процессов Microsoft Defender для Облака см. в https://aka.ms/ASCWorkflowAutomationLearnMore |
|
Automation |
Рабочая область Log Analytics, в которую будут экспортироваться данные события. Данные оповещений системы безопасности будут находиться в таблице SecurityAlert, а данные оценки будут находиться в таблице SecurityRecommendation (в соответствии с решениями Security/SecurityCenterFree). Обратите внимание, что для просмотра данных в рабочей области необходимо включить бесплатное или стандартное решение Центра безопасности Log Analytics. Дополнительные сведения о возможностях непрерывного экспорта в Microsoft Defender для облака см. в https://aka.ms/ASCExportLearnMore |
|
Automation |
Набор правил, который оценивает все его правила при перехвате событий. Только если все включенные правила в наборе правил будут оцениваться как true, событие активирует определенные действия. |
|
Automation |
Одна область автоматизации. |
|
Automation |
Исходные типы событий, которые оценивают набор правил автоматизации безопасности. Например, оповещения системы безопасности и оценки безопасности. Дополнительные сведения о поддерживаемых схемах моделей данных о событиях безопасности см. в https://aka.ms/ASCAutomationSchemas. |
|
Automation |
Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов. |
|
Automation |
Модель обновления ресурса автоматизации безопасности. |
|
Cloud |
Распространенный ответ об ошибке для всех API Azure Resource Manager для возврата сведений об ошибке для неудачных операций. (Это также следует формату ответа об ошибках OData.). |
|
Cloud |
Сведения об ошибке. |
|
Error |
Дополнительные сведения об ошибке управления ресурсами. |
|
Event |
Допустимый тип источника события. |
| Operator |
Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра. |
|
Property |
Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]] |
Automation
Ресурс автоматизации безопасности.
| Имя | Тип | Описание |
|---|---|---|
| etag |
string |
Тег сущности используется для сравнения двух или нескольких сущностей из одного запрошенного ресурса. |
| id |
string |
Идентификатор ресурса |
| kind |
string |
Тип ресурса |
| location |
string |
Расположение, в котором хранится ресурс |
| name |
string |
Имя ресурса |
| properties.actions | AutomationAction[]: |
Коллекция действий, которые активируются, если все настроенные оценки правил в пределах по крайней мере одного набора правил имеют значение true. |
| properties.description |
string |
Описание службы автоматизации безопасности. |
| properties.isEnabled |
boolean |
Указывает, включена ли автоматизация безопасности. |
| properties.scopes |
Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям. |
|
| properties.sources |
Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности. |
|
| tags |
object |
Список пар значений ключей, описывающих ресурс. |
| type |
string |
Тип ресурса |
AutomationActionEventHub
Целевой концентратор событий, в который будут экспортированы данные события. Дополнительные сведения о возможностях непрерывного экспорта в Microsoft Defender для облака см. в https://aka.ms/ASCExportLearnMore
| Имя | Тип | Описание |
|---|---|---|
| actionType |
string:
Event |
Тип действия, которое будет запускаться службой автоматизации |
| connectionString |
string |
Строка подключения целевого концентратора событий (она не будет включена в какой-либо ответ). |
| eventHubResourceId |
string |
Идентификатор ресурса целевого концентратора событий Azure. |
| isTrustedServiceEnabled |
boolean |
Указывает, включена ли надежная служба. |
| sasPolicyName |
string |
Имя политики SAS целевого концентратора событий. |
AutomationActionLogicApp
Действие приложения логики, которое должно быть активировано. Дополнительные сведения о возможностях автоматизации рабочих процессов Microsoft Defender для Облака см. в https://aka.ms/ASCWorkflowAutomationLearnMore
| Имя | Тип | Описание |
|---|---|---|
| actionType |
string:
Logic |
Тип действия, которое будет запускаться службой автоматизации |
| logicAppResourceId |
string |
Активированный идентификатор ресурса приложения логики Azure. Это также может находиться в других подписках, учитывая, что у вас есть разрешения на активацию приложения логики |
| uri |
string (uri) |
Конечная точка URI триггера приложения логики (она не будет включена в ответ). |
AutomationActionWorkspace
Рабочая область Log Analytics, в которую будут экспортироваться данные события. Данные оповещений системы безопасности будут находиться в таблице SecurityAlert, а данные оценки будут находиться в таблице SecurityRecommendation (в соответствии с решениями Security/SecurityCenterFree). Обратите внимание, что для просмотра данных в рабочей области необходимо включить бесплатное или стандартное решение Центра безопасности Log Analytics. Дополнительные сведения о возможностях непрерывного экспорта в Microsoft Defender для облака см. в https://aka.ms/ASCExportLearnMore
| Имя | Тип | Описание |
|---|---|---|
| actionType |
string:
Workspace |
Тип действия, которое будет запускаться службой автоматизации |
| workspaceResourceId |
string |
Полный идентификатор ресурса Azure рабочей области Log Analytics. |
AutomationRuleSet
Набор правил, который оценивает все его правила при перехвате событий. Только если все включенные правила в наборе правил будут оцениваться как true, событие активирует определенные действия.
| Имя | Тип | Описание |
|---|---|---|
| rules |
Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов. |
AutomationScope
Одна область автоматизации.
| Имя | Тип | Описание |
|---|---|---|
| description |
string |
Описание области ресурсов. |
| scopePath |
string |
Путь к области ресурсов. Может быть подпиской, в которой определена автоматизация или группа ресурсов в этой подписке (полные идентификаторы ресурсов Azure). |
AutomationSource
Исходные типы событий, которые оценивают набор правил автоматизации безопасности. Например, оповещения системы безопасности и оценки безопасности. Дополнительные сведения о поддерживаемых схемах моделей данных о событиях безопасности см. в https://aka.ms/ASCAutomationSchemas.
| Имя | Тип | Описание |
|---|---|---|
| eventSource |
Допустимый тип источника события. |
|
| ruleSets |
Набор правил, которые оцениваются при перехвате событий. Логическая дисъюнкция применяется между определенными наборами правил (логическими или). |
AutomationTriggeringRule
Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.
| Имя | Тип | Описание |
|---|---|---|
| expectedValue |
string |
Ожидаемое значение. |
| operator |
Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра. |
|
| propertyJPath |
string |
JPath свойства модели сущности, которое следует проверить. |
| propertyType |
Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]] |
AutomationUpdateModel
Модель обновления ресурса автоматизации безопасности.
| Имя | Тип | Описание |
|---|---|---|
| properties.actions | AutomationAction[]: |
Коллекция действий, которые активируются, если все настроенные оценки правил в пределах по крайней мере одного набора правил имеют значение true. |
| properties.description |
string |
Описание службы автоматизации безопасности. |
| properties.isEnabled |
boolean |
Указывает, включена ли автоматизация безопасности. |
| properties.scopes |
Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям. |
|
| properties.sources |
Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности. |
|
| tags |
object |
Список пар значений ключей, описывающих ресурс. |
CloudError
Распространенный ответ об ошибке для всех API Azure Resource Manager для возврата сведений об ошибке для неудачных операций. (Это также следует формату ответа об ошибках OData.).
| Имя | Тип | Описание |
|---|---|---|
| error.additionalInfo |
Дополнительные сведения об ошибке. |
|
| error.code |
string |
Код ошибки. |
| error.details |
Сведения об ошибке. |
|
| error.message |
string |
Сообщение об ошибке. |
| error.target |
string |
Целевой объект ошибки. |
CloudErrorBody
Сведения об ошибке.
| Имя | Тип | Описание |
|---|---|---|
| additionalInfo |
Дополнительные сведения об ошибке. |
|
| code |
string |
Код ошибки. |
| details |
Сведения об ошибке. |
|
| message |
string |
Сообщение об ошибке. |
| target |
string |
Целевой объект ошибки. |
ErrorAdditionalInfo
Дополнительные сведения об ошибке управления ресурсами.
| Имя | Тип | Описание |
|---|---|---|
| info |
object |
Дополнительные сведения. |
| type |
string |
Дополнительный тип сведений. |
EventSource
Допустимый тип источника события.
| Значение | Описание |
|---|---|
| Assessments | |
| AssessmentsSnapshot | |
| SubAssessments | |
| SubAssessmentsSnapshot | |
| Alerts | |
| SecureScores | |
| SecureScoresSnapshot | |
| SecureScoreControls | |
| SecureScoreControlsSnapshot | |
| RegulatoryComplianceAssessment | |
| RegulatoryComplianceAssessmentSnapshot | |
| AttackPaths | |
| AttackPathsSnapshot |
Operator
Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.
| Значение | Описание |
|---|---|
| Equals |
Применяется для десятичных и не десятичных операндов |
| GreaterThan |
Применяется только для десятичных операндов |
| GreaterThanOrEqualTo |
Применяется только для десятичных операндов |
| LesserThan |
Применяется только для десятичных операндов |
| LesserThanOrEqualTo |
Применяется только для десятичных операндов |
| NotEquals |
Применяется для десятичных и не десятичных операндов |
| Contains |
Применяется только для не десятичных операндов |
| StartsWith |
Применяется только для не десятичных операндов |
| EndsWith |
Применяется только для не десятичных операндов |
PropertyType
Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]
| Значение | Описание |
|---|---|
| String | |
| Integer | |
| Number | |
| Boolean |