Microsoft.SecurityInsights alertRules 2025-03-01

• senaste
• 2025-03-01
• 2025-01-01-preview
• 2024-10-01-preview
• 2024-09-01
• 2024-04-01-preview
• 2024-03-01
• 2024-01-01-preview
• 2023-12-01-preview
• 2023-11-01
• 2023-10-01-preview
• 2023-09-01-preview
• 2023-08-01-preview
• 2023-07-01-preview
• 2023-06-01-preview
• 2023-05-01-preview
• 2023-04-01-preview
• 2023-03-01-preview
• 2023-02-01
• 2023-02-01-preview
• 2022-12-01-preview
• 2022-11-01
• 2022-11-01-preview
• 2022-10-01-preview
• 2022-09-01-preview
• 2022-08-01
• 2022-08-01-preview
• 2022-07-01-preview
• 2022-06-01-preview
• 2022-05-01-preview
• 2022-04-01-preview
• 2022-01-01-preview
• 2021-10-01
• 2021-10-01-preview
• 2021-09-01-preview
• 2021-03-01-preview
• 2020-01-01
• 2019-01-01-preview

Bicep-resursdefinition

Resurstypen alertRules kan distribueras med åtgärder som mål:

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Resursformat

Om du vill skapa en Microsoft.SecurityInsights/alertRules-resurs lägger du till följande Bicep i mallen.

resource symbolicname 'Microsoft.SecurityInsights/alertRules@2025-03-01' = {
  etag: 'string'
  name: 'string'
  kind: 'string'
  // For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}

Microsoft.SecurityInsights/alertRules-objekt

Ange egenskapen typ för att ange typ av objekt.

För Fusionanvänder du:

{
  kind: 'Fusion'
  properties: {
    alertRuleTemplateName: 'string'
    enabled: bool
  }
}

För MicrosoftSecurityIncidentCreationanvänder du:

{
  kind: 'MicrosoftSecurityIncidentCreation'
  properties: {
    alertRuleTemplateName: 'string'
    description: 'string'
    displayName: 'string'
    displayNamesExcludeFilter: [
      'string'
    ]
    displayNamesFilter: [
      'string'
    ]
    enabled: bool
    productFilter: 'string'
    severitiesFilter: [
      'string'
    ]
  }
}

För schemalagdanvänder du:

{
  kind: 'Scheduled'
  properties: {
    alertDetailsOverride: {
      alertDescriptionFormat: 'string'
      alertDisplayNameFormat: 'string'
      alertDynamicProperties: [
        {
          alertProperty: 'string'
          value: 'string'
        }
      ]
      alertSeverityColumnName: 'string'
      alertTacticsColumnName: 'string'
    }
    alertRuleTemplateName: 'string'
    customDetails: {
      {customized property}: 'string'
    }
    description: 'string'
    displayName: 'string'
    enabled: bool
    entityMappings: [
      {
        entityType: 'string'
        fieldMappings: [
          {
            columnName: 'string'
            identifier: 'string'
          }
        ]
      }
    ]
    eventGroupingSettings: {
      aggregationKind: 'string'
    }
    incidentConfiguration: {
      createIncident: bool
      groupingConfiguration: {
        enabled: bool
        groupByAlertDetails: [
          'string'
        ]
        groupByCustomDetails: [
          'string'
        ]
        groupByEntities: [
          'string'
        ]
        lookbackDuration: 'string'
        matchingMethod: 'string'
        reopenClosedIncident: bool
      }
    }
    query: 'string'
    queryFrequency: 'string'
    queryPeriod: 'string'
    severity: 'string'
    suppressionDuration: 'string'
    suppressionEnabled: bool
    tactics: [
      'string'
    ]
    techniques: [
      'string'
    ]
    templateVersion: 'string'
    triggerOperator: 'string'
    triggerThreshold: int
  }
}

Egenskapsvärden

AlertDetailsOverride

Namn	Beskrivning	Värde
alertDescriptionFormat	formatet som innehåller kolumnernas namn för att åsidosätta aviseringsbeskrivningen	sträng
alertDisplayNameFormat	formatet som innehåller kolumnernas namn för att åsidosätta aviseringsnamnet	sträng
alertDynamicProperties	Lista över ytterligare dynamiska egenskaper som ska åsidosättas	AlertPropertyMapping[]
alertSeverityColumnName	kolumnnamnet för att ta aviseringens allvarlighetsgrad från	sträng
alertTacticsColumnName	kolumnnamnet för att ta aviseringstaktiken från	sträng

AlertPropertyMapping

Namn	Beskrivning	Värde
alertProperty	V3-aviseringsegenskapen	"AlertLink" "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" "ProductComponentName" "ProductName" "ProviderName" "RemediationSteps" "Tekniker"
värde	kolumnnamnet som ska användas för att åsidosätta den här egenskapen	sträng

EntityMapping

Namn	Beskrivning	Värde
entityType	V3-typen för den mappade entiteten	"Konto" "AzureResource" "CloudApplication" "DNS" "Fil" "FileHash" "Värd" "IP" "Postlåda" "MailCluster" "MailMessage" "Skadlig kod" "Process" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "URL"
fieldMappings	matris med fältmappningar för den angivna entitetsmappningen	FieldMapping[]

EventGroupingSettings

Namn	Beskrivning	Värde
aggregationKind	Sammansättningstyper för händelsegruppering	"AlertPerResult" "SingleAlert"

FieldMapping

Namn	Beskrivning	Värde
columnName	kolumnnamnet som ska mappas till identifieraren	sträng
identifierare	V3-identifieraren för entiteten	sträng

FusionAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"Fusion" (krävs)
Egenskaper	Egenskaper för fusionsaviseringsregel	FusionAlertRuleProperties

FusionAlertRuleEgenskaper

Namn	Beskrivning	Värde
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng (krävs)
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)

GroupingConfiguration

Namn	Beskrivning	Värde
Aktiverat	Gruppering aktiverat	bool (krävs)
groupByAlertDetails	En lista över aviseringsinformation som ska grupperas efter (när matchningMethod är Valt)	Strängmatris som innehåller något av: "DisplayName" Allvarlighetsgrad
groupByCustomDetails	En lista med anpassade informationsnycklar som ska grupperas efter (när matchningMethod är Vald). Endast nycklar som definierats i den aktuella aviseringsregeln kan användas.	string[]
groupByEntities	En lista över entitetstyper som ska grupperas efter (vid matchningMethod är Vald). Endast entiteter som definierats i den aktuella aviseringsregeln kan användas.	Strängmatris som innehåller något av: "Konto" "AzureResource" "CloudApplication" "DNS" "Fil" "FileHash" "Värd" "IP" "Postlåda" "MailCluster" "MailMessage" "Skadlig kod" "Process" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "URL"
lookbackDuration	Begränsa gruppen till aviseringar som skapats inom återställningstiden (i ISO 8601-varaktighetsformat)	sträng (krävs)
matchingMethod	Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.	"AllaEntiteter" "AnyAlert" "Vald" (krävs)
reopenClosedIncident	Öppna stängda matchningsincidenter igen	bool (krävs)

IncidentKonfiguration

Namn	Beskrivning	Värde
createIncident	Skapa incidenter från aviseringar som utlöses av den här analysregeln	bool (krävs)
groupingConfiguration	Ange hur aviseringarna som utlöses av den här analysregeln grupperas i incidenter	GroupingConfiguration

Microsoft.SecurityInsights/alertRules

Namn	Beskrivning	Värde
etag	Etag för azure-resursen	sträng
sort	Ange till Fusion för typen FusionAlertRule. Ange till MicrosoftSecurityIncidentCreation för typ MicrosoftSecurityIncidentCreationAlertRule. Ange till Schemalagd för typen ScheduledAlertRule.	"Fusion" "MicrosoftSecurityIncidentCreation" "Schemalagd" (krävs)
Namn	Resursnamnet	sträng (krävs)
omfattning	Använd när du skapar en resurs i ett annat omfång än distributionsomfånget.	Ange den här egenskapen till det symboliska namnet på en resurs för att tillämpa -tilläggsresursen.

MicrosoftSecurityIncidentCreationAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"MicrosoftSecurityIncidentCreation" (krävs)
Egenskaper	Egenskaper för MicrosoftSecurityIncidentCreation-regel	MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Namn	Beskrivning	Värde
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng
beskrivning	Beskrivningen av aviseringsregeln.	sträng
displayName	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.	sträng (krävs)
displayNamesExcludeFilter	aviseringar displayNames där fallen inte kommer att genereras	string[]
displayNamesFilter	aviseringars displayNames som ärendena ska genereras på	string[]
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
productFilter	Aviseringar productName som ärendena ska genereras på	"Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center for IoT" "Azure Security Center" "Microsoft Cloud App Security" (krävs)
severitiesFilter	aviseringars allvarlighetsgrad som ärendena ska genereras för	Strängmatris som innehåller något av: "Hög" "Informationsbaserad" "Låg" "Medel"

ScheduledAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"Schemalagd" (krävs)
Egenskaper	Egenskaper för schemalagd aviseringsregel	ScheduledAlertRuleProperties

ScheduledAlertRuleCommonPropertiesCustomDetails

Namn	Beskrivning	Värde

ScheduledAlertRuleEgenskaper

Namn	Beskrivning	Värde
alertDetailsOverride	Åsidosättningsinställningar för aviseringsinformation	AlertDetailsOverride
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng
customDetails	Ordlista över strängnyckel/värde-par med kolumner som ska kopplas till aviseringen	ScheduledAlertRuleCommonPropertiesCustomDetails
beskrivning	Beskrivningen av aviseringsregeln.	sträng
displayName	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.	sträng (krävs)
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
entityMappings	Matris för entitetsmappningar av aviseringsregeln	EntityMapping[]
eventGroupingSettings	Inställningar för händelsegruppering.	EventGroupingSettings
incidentConfiguration	Inställningarna för de incidenter som skapats från aviseringar som utlöses av den här analysregeln	IncidentConfiguration
fråga	Frågan som skapar aviseringar för den här regeln.	sträng
queryFrequency	Frekvensen (i ISO 8601-varaktighetsformat) för att den här aviseringsregeln ska köras.	sträng
queryPeriod	Den period (i ISO 8601-varaktighetsformat) som den här aviseringsregeln tittar på.	sträng
stränghet	Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.	"Hög" "Informationsbaserad" "Låg" "Medel"
suppressionDuration	Undertryckningen (i ISO 8601-varaktighetsformat) för att vänta sedan förra gången den här aviseringsregeln utlöstes.	sträng (krävs)
suppressionEnabled	Avgör om undertryckningen för den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
taktik	Aviseringsregelns taktik	Strängmatris som innehåller något av: "Samling" "CommandAndControl" "CredentialAccess" "DefenseEvasion" "Identifiering" "Körning" "Exfiltrering" "Effekt" "ImpairProcessControl" "InhibitResponseFunction" "InitialAccess" "LateralMovement" "Beständighet" "PreAttack" "PrivilegeEscalation" "Rekognosering" "ResourceDevelopment"
Tekniker	Aviseringsregelns tekniker	string[]
templateVersion	Versionen av aviseringsregelmallen som används för att skapa den här regeln – i format <a.b.c>, där alla är tal, till exempel 0 <1.0.2>	sträng
triggerOperator	Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.	"Lika" "GreaterThan" "LessThan" "NotEqual"
triggerThreshold	Tröskelvärdet utlöser den här aviseringsregeln.	Int

Resursdefinition för ARM-mall

Resurstypen alertRules kan distribueras med åtgärder som mål:

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Resursformat

Om du vill skapa en Microsoft.SecurityInsights/alertRules-resurs lägger du till följande JSON i mallen.

{
  "etag": "string",
  "name": "string",
  "kind": "string"
  // For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}

Microsoft.SecurityInsights/alertRules-objekt

Ange egenskapen typ för att ange typ av objekt.

För Fusionanvänder du:

{
  "kind": "Fusion",
  "properties": {
    "alertRuleTemplateName": "string",
    "enabled": "bool"
  }
}

För MicrosoftSecurityIncidentCreationanvänder du:

{
  "kind": "MicrosoftSecurityIncidentCreation",
  "properties": {
    "alertRuleTemplateName": "string",
    "description": "string",
    "displayName": "string",
    "displayNamesExcludeFilter": [ "string" ],
    "displayNamesFilter": [ "string" ],
    "enabled": "bool",
    "productFilter": "string",
    "severitiesFilter": [ "string" ]
  }
}

För schemalagdanvänder du:

{
  "kind": "Scheduled",
  "properties": {
    "alertDetailsOverride": {
      "alertDescriptionFormat": "string",
      "alertDisplayNameFormat": "string",
      "alertDynamicProperties": [
        {
          "alertProperty": "string",
          "value": "string"
        }
      ],
      "alertSeverityColumnName": "string",
      "alertTacticsColumnName": "string"
    },
    "alertRuleTemplateName": "string",
    "customDetails": {
      "{customized property}": "string"
    },
    "description": "string",
    "displayName": "string",
    "enabled": "bool",
    "entityMappings": [
      {
        "entityType": "string",
        "fieldMappings": [
          {
            "columnName": "string",
            "identifier": "string"
          }
        ]
      }
    ],
    "eventGroupingSettings": {
      "aggregationKind": "string"
    },
    "incidentConfiguration": {
      "createIncident": "bool",
      "groupingConfiguration": {
        "enabled": "bool",
        "groupByAlertDetails": [ "string" ],
        "groupByCustomDetails": [ "string" ],
        "groupByEntities": [ "string" ],
        "lookbackDuration": "string",
        "matchingMethod": "string",
        "reopenClosedIncident": "bool"
      }
    },
    "query": "string",
    "queryFrequency": "string",
    "queryPeriod": "string",
    "severity": "string",
    "suppressionDuration": "string",
    "suppressionEnabled": "bool",
    "tactics": [ "string" ],
    "techniques": [ "string" ],
    "templateVersion": "string",
    "triggerOperator": "string",
    "triggerThreshold": "int"
  }
}

Egenskapsvärden

AlertDetailsOverride

Namn	Beskrivning	Värde
alertDescriptionFormat	formatet som innehåller kolumnernas namn för att åsidosätta aviseringsbeskrivningen	sträng
alertDisplayNameFormat	formatet som innehåller kolumnernas namn för att åsidosätta aviseringsnamnet	sträng
alertDynamicProperties	Lista över ytterligare dynamiska egenskaper som ska åsidosättas	AlertPropertyMapping[]
alertSeverityColumnName	kolumnnamnet för att ta aviseringens allvarlighetsgrad från	sträng
alertTacticsColumnName	kolumnnamnet för att ta aviseringstaktiken från	sträng

AlertPropertyMapping

Namn	Beskrivning	Värde
alertProperty	V3-aviseringsegenskapen	"AlertLink" "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" "ProductComponentName" "ProductName" "ProviderName" "RemediationSteps" "Tekniker"
värde	kolumnnamnet som ska användas för att åsidosätta den här egenskapen	sträng

EntityMapping

Namn	Beskrivning	Värde
entityType	V3-typen för den mappade entiteten	"Konto" "AzureResource" "CloudApplication" "DNS" "Fil" "FileHash" "Värd" "IP" "Postlåda" "MailCluster" "MailMessage" "Skadlig kod" "Process" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "URL"
fieldMappings	matris med fältmappningar för den angivna entitetsmappningen	FieldMapping[]

EventGroupingSettings

Namn	Beskrivning	Värde
aggregationKind	Sammansättningstyper för händelsegruppering	"AlertPerResult" "SingleAlert"

FieldMapping

Namn	Beskrivning	Värde
columnName	kolumnnamnet som ska mappas till identifieraren	sträng
identifierare	V3-identifieraren för entiteten	sträng

FusionAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"Fusion" (krävs)
Egenskaper	Egenskaper för fusionsaviseringsregel	FusionAlertRuleProperties

FusionAlertRuleEgenskaper

Namn	Beskrivning	Värde
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng (krävs)
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)

GroupingConfiguration

Namn	Beskrivning	Värde
Aktiverat	Gruppering aktiverat	bool (krävs)
groupByAlertDetails	En lista över aviseringsinformation som ska grupperas efter (när matchningMethod är Valt)	Strängmatris som innehåller något av: "DisplayName" Allvarlighetsgrad
groupByCustomDetails	En lista med anpassade informationsnycklar som ska grupperas efter (när matchningMethod är Vald). Endast nycklar som definierats i den aktuella aviseringsregeln kan användas.	string[]
groupByEntities	En lista över entitetstyper som ska grupperas efter (vid matchningMethod är Vald). Endast entiteter som definierats i den aktuella aviseringsregeln kan användas.	Strängmatris som innehåller något av: "Konto" "AzureResource" "CloudApplication" "DNS" "Fil" "FileHash" "Värd" "IP" "Postlåda" "MailCluster" "MailMessage" "Skadlig kod" "Process" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "URL"
lookbackDuration	Begränsa gruppen till aviseringar som skapats inom återställningstiden (i ISO 8601-varaktighetsformat)	sträng (krävs)
matchingMethod	Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.	"AllaEntiteter" "AnyAlert" "Vald" (krävs)
reopenClosedIncident	Öppna stängda matchningsincidenter igen	bool (krävs)

IncidentKonfiguration

Namn	Beskrivning	Värde
createIncident	Skapa incidenter från aviseringar som utlöses av den här analysregeln	bool (krävs)
groupingConfiguration	Ange hur aviseringarna som utlöses av den här analysregeln grupperas i incidenter	GroupingConfiguration

Microsoft.SecurityInsights/alertRules

Namn	Beskrivning	Värde
apiVersion	API-versionen	'2025-03-01'
etag	Etag för azure-resursen	sträng
sort	Ange till Fusion för typen FusionAlertRule. Ange till MicrosoftSecurityIncidentCreation för typ MicrosoftSecurityIncidentCreationAlertRule. Ange till Schemalagd för typen ScheduledAlertRule.	"Fusion" "MicrosoftSecurityIncidentCreation" "Schemalagd" (krävs)
Namn	Resursnamnet	sträng (krävs)
typ	Resurstypen	"Microsoft.SecurityInsights/alertRules"

MicrosoftSecurityIncidentCreationAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"MicrosoftSecurityIncidentCreation" (krävs)
Egenskaper	Egenskaper för MicrosoftSecurityIncidentCreation-regel	MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Namn	Beskrivning	Värde
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng
beskrivning	Beskrivningen av aviseringsregeln.	sträng
displayName	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.	sträng (krävs)
displayNamesExcludeFilter	aviseringar displayNames där fallen inte kommer att genereras	string[]
displayNamesFilter	aviseringars displayNames som ärendena ska genereras på	string[]
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
productFilter	Aviseringar productName som ärendena ska genereras på	"Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center for IoT" "Azure Security Center" "Microsoft Cloud App Security" (krävs)
severitiesFilter	aviseringars allvarlighetsgrad som ärendena ska genereras för	Strängmatris som innehåller något av: "Hög" "Informationsbaserad" "Låg" "Medel"

ScheduledAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"Schemalagd" (krävs)
Egenskaper	Egenskaper för schemalagd aviseringsregel	ScheduledAlertRuleProperties

ScheduledAlertRuleCommonPropertiesCustomDetails

Namn	Beskrivning	Värde

ScheduledAlertRuleEgenskaper

Namn	Beskrivning	Värde
alertDetailsOverride	Åsidosättningsinställningar för aviseringsinformation	AlertDetailsOverride
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng
customDetails	Ordlista över strängnyckel/värde-par med kolumner som ska kopplas till aviseringen	ScheduledAlertRuleCommonPropertiesCustomDetails
beskrivning	Beskrivningen av aviseringsregeln.	sträng
displayName	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.	sträng (krävs)
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
entityMappings	Matris för entitetsmappningar av aviseringsregeln	EntityMapping[]
eventGroupingSettings	Inställningar för händelsegruppering.	EventGroupingSettings
incidentConfiguration	Inställningarna för de incidenter som skapats från aviseringar som utlöses av den här analysregeln	IncidentConfiguration
fråga	Frågan som skapar aviseringar för den här regeln.	sträng
queryFrequency	Frekvensen (i ISO 8601-varaktighetsformat) för att den här aviseringsregeln ska köras.	sträng
queryPeriod	Den period (i ISO 8601-varaktighetsformat) som den här aviseringsregeln tittar på.	sträng
stränghet	Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.	"Hög" "Informationsbaserad" "Låg" "Medel"
suppressionDuration	Undertryckningen (i ISO 8601-varaktighetsformat) för att vänta sedan förra gången den här aviseringsregeln utlöstes.	sträng (krävs)
suppressionEnabled	Avgör om undertryckningen för den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
taktik	Aviseringsregelns taktik	Strängmatris som innehåller något av: "Samling" "CommandAndControl" "CredentialAccess" "DefenseEvasion" "Identifiering" "Körning" "Exfiltrering" "Effekt" "ImpairProcessControl" "InhibitResponseFunction" "InitialAccess" "LateralMovement" "Beständighet" "PreAttack" "PrivilegeEscalation" "Rekognosering" "ResourceDevelopment"
Tekniker	Aviseringsregelns tekniker	string[]
templateVersion	Versionen av aviseringsregelmallen som används för att skapa den här regeln – i format <a.b.c>, där alla är tal, till exempel 0 <1.0.2>	sträng
triggerOperator	Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.	"Lika" "GreaterThan" "LessThan" "NotEqual"
triggerThreshold	Tröskelvärdet utlöser den här aviseringsregeln.	Int

Användningsexempel

Azure-snabbstartsmallar

Följande Azure-snabbstartsmallar distribuera den här resurstypen.

Mall	Beskrivning
Skapar en ny microsoft sentinel-regel för schemalagd analys	Det här exemplet visar hur du skapar en ny schemalagd analysregel i Microsoft Sentinel

Resursdefinition för Terraform (AzAPI-provider)

Resurstypen alertRules kan distribueras med åtgärder som mål:

En lista över ändrade egenskaper i varje API-version finns i ändringsloggen.

Resursformat

Om du vill skapa en Microsoft.SecurityInsights/alertRules-resurs lägger du till följande Terraform i mallen.

resource "azapi_resource" "symbolicname" {
  etag = "string"
  name = "string"
  kind = "string"
  // For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}

Microsoft.SecurityInsights/alertRules-objekt

Ange egenskapen typ för att ange typ av objekt.

För Fusionanvänder du:

{
  kind = "Fusion"
  properties = {
    alertRuleTemplateName = "string"
    enabled = bool
  }
}

För MicrosoftSecurityIncidentCreationanvänder du:

{
  kind = "MicrosoftSecurityIncidentCreation"
  properties = {
    alertRuleTemplateName = "string"
    description = "string"
    displayName = "string"
    displayNamesExcludeFilter = [
      "string"
    ]
    displayNamesFilter = [
      "string"
    ]
    enabled = bool
    productFilter = "string"
    severitiesFilter = [
      "string"
    ]
  }
}

För schemalagdanvänder du:

{
  kind = "Scheduled"
  properties = {
    alertDetailsOverride = {
      alertDescriptionFormat = "string"
      alertDisplayNameFormat = "string"
      alertDynamicProperties = [
        {
          alertProperty = "string"
          value = "string"
        }
      ]
      alertSeverityColumnName = "string"
      alertTacticsColumnName = "string"
    }
    alertRuleTemplateName = "string"
    customDetails = {
      {customized property} = "string"
    }
    description = "string"
    displayName = "string"
    enabled = bool
    entityMappings = [
      {
        entityType = "string"
        fieldMappings = [
          {
            columnName = "string"
            identifier = "string"
          }
        ]
      }
    ]
    eventGroupingSettings = {
      aggregationKind = "string"
    }
    incidentConfiguration = {
      createIncident = bool
      groupingConfiguration = {
        enabled = bool
        groupByAlertDetails = [
          "string"
        ]
        groupByCustomDetails = [
          "string"
        ]
        groupByEntities = [
          "string"
        ]
        lookbackDuration = "string"
        matchingMethod = "string"
        reopenClosedIncident = bool
      }
    }
    query = "string"
    queryFrequency = "string"
    queryPeriod = "string"
    severity = "string"
    suppressionDuration = "string"
    suppressionEnabled = bool
    tactics = [
      "string"
    ]
    techniques = [
      "string"
    ]
    templateVersion = "string"
    triggerOperator = "string"
    triggerThreshold = int
  }
}

Egenskapsvärden

AlertDetailsOverride

Namn	Beskrivning	Värde
alertDescriptionFormat	formatet som innehåller kolumnernas namn för att åsidosätta aviseringsbeskrivningen	sträng
alertDisplayNameFormat	formatet som innehåller kolumnernas namn för att åsidosätta aviseringsnamnet	sträng
alertDynamicProperties	Lista över ytterligare dynamiska egenskaper som ska åsidosättas	AlertPropertyMapping[]
alertSeverityColumnName	kolumnnamnet för att ta aviseringens allvarlighetsgrad från	sträng
alertTacticsColumnName	kolumnnamnet för att ta aviseringstaktiken från	sträng

AlertPropertyMapping

Namn	Beskrivning	Värde
alertProperty	V3-aviseringsegenskapen	"AlertLink" "ConfidenceLevel" "ConfidenceScore" "ExtendedLinks" "ProductComponentName" "ProductName" "ProviderName" "RemediationSteps" "Tekniker"
värde	kolumnnamnet som ska användas för att åsidosätta den här egenskapen	sträng

EntityMapping

Namn	Beskrivning	Värde
entityType	V3-typen för den mappade entiteten	"Konto" "AzureResource" "CloudApplication" "DNS" "Fil" "FileHash" "Värd" "IP" "Postlåda" "MailCluster" "MailMessage" "Skadlig kod" "Process" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "URL"
fieldMappings	matris med fältmappningar för den angivna entitetsmappningen	FieldMapping[]

EventGroupingSettings

Namn	Beskrivning	Värde
aggregationKind	Sammansättningstyper för händelsegruppering	"AlertPerResult" "SingleAlert"

FieldMapping

Namn	Beskrivning	Värde
columnName	kolumnnamnet som ska mappas till identifieraren	sträng
identifierare	V3-identifieraren för entiteten	sträng

FusionAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"Fusion" (krävs)
Egenskaper	Egenskaper för fusionsaviseringsregel	FusionAlertRuleProperties

FusionAlertRuleEgenskaper

Namn	Beskrivning	Värde
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng (krävs)
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)

GroupingConfiguration

Namn	Beskrivning	Värde
Aktiverat	Gruppering aktiverat	bool (krävs)
groupByAlertDetails	En lista över aviseringsinformation som ska grupperas efter (när matchningMethod är Valt)	Strängmatris som innehåller något av: "DisplayName" Allvarlighetsgrad
groupByCustomDetails	En lista med anpassade informationsnycklar som ska grupperas efter (när matchningMethod är Vald). Endast nycklar som definierats i den aktuella aviseringsregeln kan användas.	string[]
groupByEntities	En lista över entitetstyper som ska grupperas efter (vid matchningMethod är Vald). Endast entiteter som definierats i den aktuella aviseringsregeln kan användas.	Strängmatris som innehåller något av: "Konto" "AzureResource" "CloudApplication" "DNS" "Fil" "FileHash" "Värd" "IP" "Postlåda" "MailCluster" "MailMessage" "Skadlig kod" "Process" "RegistryKey" "RegistryValue" "SecurityGroup" "SubmissionMail" "URL"
lookbackDuration	Begränsa gruppen till aviseringar som skapats inom återställningstiden (i ISO 8601-varaktighetsformat)	sträng (krävs)
matchingMethod	Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.	"AllaEntiteter" "AnyAlert" "Vald" (krävs)
reopenClosedIncident	Öppna stängda matchningsincidenter igen	bool (krävs)

IncidentKonfiguration

Namn	Beskrivning	Värde
createIncident	Skapa incidenter från aviseringar som utlöses av den här analysregeln	bool (krävs)
groupingConfiguration	Ange hur aviseringarna som utlöses av den här analysregeln grupperas i incidenter	GroupingConfiguration

Microsoft.SecurityInsights/alertRules

Namn	Beskrivning	Värde
etag	Etag för azure-resursen	sträng
sort	Ange till Fusion för typen FusionAlertRule. Ange till MicrosoftSecurityIncidentCreation för typ MicrosoftSecurityIncidentCreationAlertRule. Ange till Schemalagd för typen ScheduledAlertRule.	"Fusion" "MicrosoftSecurityIncidentCreation" "Schemalagd" (krävs)
Namn	Resursnamnet	sträng (krävs)
parent_id	ID:t för resursen som den här tilläggsresursen ska tillämpas på.	sträng (krävs)
typ	Resurstypen	"Microsoft.SecurityInsights/alertRules@2025-03-01"

MicrosoftSecurityIncidentCreationAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"MicrosoftSecurityIncidentCreation" (krävs)
Egenskaper	Egenskaper för MicrosoftSecurityIncidentCreation-regel	MicrosoftSecurityIncidentCreationAlertRuleProperties

MicrosoftSecurityIncidentCreationAlertRuleProperties

Namn	Beskrivning	Värde
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng
beskrivning	Beskrivningen av aviseringsregeln.	sträng
displayName	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.	sträng (krävs)
displayNamesExcludeFilter	aviseringar displayNames där fallen inte kommer att genereras	string[]
displayNamesFilter	aviseringars displayNames som ärendena ska genereras på	string[]
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
productFilter	Aviseringar productName som ärendena ska genereras på	"Azure Active Directory Identity Protection" "Azure Advanced Threat Protection" "Azure Security Center for IoT" "Azure Security Center" "Microsoft Cloud App Security" (krävs)
severitiesFilter	aviseringars allvarlighetsgrad som ärendena ska genereras för	Strängmatris som innehåller något av: "Hög" "Informationsbaserad" "Låg" "Medel"

ScheduledAlertRule

Namn	Beskrivning	Värde
sort	Typ av aviseringsregel	"Schemalagd" (krävs)
Egenskaper	Egenskaper för schemalagd aviseringsregel	ScheduledAlertRuleProperties

ScheduledAlertRuleCommonPropertiesCustomDetails

Namn	Beskrivning	Värde

ScheduledAlertRuleEgenskaper

Namn	Beskrivning	Värde
alertDetailsOverride	Åsidosättningsinställningar för aviseringsinformation	AlertDetailsOverride
alertRuleTemplateName	Namnet på den aviseringsregelmall som används för att skapa den här regeln.	sträng
customDetails	Ordlista över strängnyckel/värde-par med kolumner som ska kopplas till aviseringen	ScheduledAlertRuleCommonPropertiesCustomDetails
beskrivning	Beskrivningen av aviseringsregeln.	sträng
displayName	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.	sträng (krävs)
Aktiverat	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
entityMappings	Matris för entitetsmappningar av aviseringsregeln	EntityMapping[]
eventGroupingSettings	Inställningar för händelsegruppering.	EventGroupingSettings
incidentConfiguration	Inställningarna för de incidenter som skapats från aviseringar som utlöses av den här analysregeln	IncidentConfiguration
fråga	Frågan som skapar aviseringar för den här regeln.	sträng
queryFrequency	Frekvensen (i ISO 8601-varaktighetsformat) för att den här aviseringsregeln ska köras.	sträng
queryPeriod	Den period (i ISO 8601-varaktighetsformat) som den här aviseringsregeln tittar på.	sträng
stränghet	Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.	"Hög" "Informationsbaserad" "Låg" "Medel"
suppressionDuration	Undertryckningen (i ISO 8601-varaktighetsformat) för att vänta sedan förra gången den här aviseringsregeln utlöstes.	sträng (krävs)
suppressionEnabled	Avgör om undertryckningen för den här aviseringsregeln är aktiverad eller inaktiverad.	bool (krävs)
taktik	Aviseringsregelns taktik	Strängmatris som innehåller något av: "Samling" "CommandAndControl" "CredentialAccess" "DefenseEvasion" "Identifiering" "Körning" "Exfiltrering" "Effekt" "ImpairProcessControl" "InhibitResponseFunction" "InitialAccess" "LateralMovement" "Beständighet" "PreAttack" "PrivilegeEscalation" "Rekognosering" "ResourceDevelopment"
Tekniker	Aviseringsregelns tekniker	string[]
templateVersion	Versionen av aviseringsregelmallen som används för att skapa den här regeln – i format <a.b.c>, där alla är tal, till exempel 0 <1.0.2>	sträng
triggerOperator	Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.	"Lika" "GreaterThan" "LessThan" "NotEqual"
triggerThreshold	Tröskelvärdet utlöser den här aviseringsregeln.	Int