Alert Rules - Get
Hämtar aviseringsregeln.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules/{ruleId}?api-version=2024-03-01
URI-parametrar
Name | I | Obligatorisk | Typ | Description |
---|---|---|---|---|
resource
|
path | True |
string |
Namnet på resursgruppen. Namnet är skiftlägesokänsligt. |
rule
|
path | True |
string |
Aviseringsregel-ID |
subscription
|
path | True |
string |
ID för målprenumerationen. |
workspace
|
path | True |
string |
Namnet på arbetsytan. Reguljärt uttrycksmönster: |
api-version
|
query | True |
string |
Den API-version som ska användas för den här åtgärden. |
Svar
Name | Typ | Description |
---|---|---|
200 OK | AlertRule: |
OK, Åtgärden har slutförts |
Other Status Codes |
Felsvar som beskriver varför åtgärden misslyckades. |
Säkerhet
azure_auth
Azure Active Directory OAuth2 Flow
Typ:
oauth2
Flow:
implicit
Auktoriseringswebbadress:
https://login.microsoftonline.com/common/oauth2/authorize
Omfattningar
Name | Description |
---|---|
user_impersonation | personifiera ditt användarkonto |
Exempel
Get a Fusion alert rule. |
Get a Microsoft |
Get a Scheduled alert rule. |
Get a Fusion alert rule.
Exempelbegäran
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule?api-version=2024-03-01
Exempelsvar
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
"name": "myFirstFusionRule",
"etag": "\"260090e2-0000-0d00-0000-5d6fb8670000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
"alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"severity": "High",
"enabled": true,
"lastModifiedUtc": "2019-09-04T13:13:11.5340061Z"
}
}
Get a MicrosoftSecurityIncidentCreation rule.
Exempelbegäran
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample?api-version=2024-03-01
Exempelsvar
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
"name": "microsoftSecurityIncidentCreationRuleExample",
"etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "testing displayname",
"enabled": true,
"description": null,
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
}
}
Get a Scheduled alert rule.
Exempelbegäran
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
Exempelsvar
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"alertRuleTemplateName": null,
"displayName": "My scheduled rule",
"description": "An example for a scheduled rule",
"severity": "High",
"enabled": true,
"tactics": [
"Persistence",
"LateralMovement"
],
"query": "Heartbeat",
"queryFrequency": "PT1H",
"queryPeriod": "P2DT1H30M",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT1H",
"suppressionEnabled": false,
"lastModifiedUtc": "2019-01-01T13:15:30Z",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"customDetails": {
"OperatingSystemName": "OSName",
"OperatingSystemType": "OSType"
},
"entityMappings": [
{
"entityType": "Host",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "Computer"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "ComputerIP"
}
]
}
],
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert from {{Computer}}",
"alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"incidentConfiguration": {
"createIncident": true,
"groupingConfiguration": {
"enabled": true,
"reopenClosedIncident": false,
"lookbackDuration": "PT5H",
"matchingMethod": "Selected",
"groupByEntities": [
"Host"
],
"groupByAlertDetails": [
"DisplayName"
],
"groupByCustomDetails": [
"OperatingSystemType",
"OperatingSystemName"
]
}
}
}
}
Definitioner
Name | Description |
---|---|
Alert |
En lista med aviseringsinformation som ska grupperas efter (när matchingMethod är Selected) |
Alert |
Inställningar för att dynamiskt åsidosätta statisk information om aviseringar |
Alert |
V3-aviseringsegenskapen |
Alert |
En enda aviseringsegenskapsmappning som ska åsidosättas |
Alert |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
Attack |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
Cloud |
Felsvarsstruktur. |
Cloud |
Felinformation. |
created |
Den typ av identitet som skapade resursen. |
Entity |
Mappning av en entitet för aviseringsregeln |
Entity |
V3-typen för den mappade entiteten |
Event |
Händelsegrupperingsaggregeringstyper |
Event |
Egenskapsuppsättning för händelsegrupperingsinställningar. |
Field |
En enda fältmappning av den mappade entiteten |
Fusion |
Representerar fusionsaviseringsregeln. |
Grouping |
Gruppering av egenskapsuppsättning för konfiguration. |
Incident |
Egenskapsuppsättning för incidentkonfiguration. |
Matching |
Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom. |
Microsoft |
Representerar MicrosoftSecurityIncidentCreation-regeln. |
Microsoft |
Aviseringars productName som ärendena ska genereras på |
Scheduled |
Representerar schemalagd aviseringsregel. |
system |
Metadata som rör skapande och senaste ändring av resursen. |
Trigger |
Åtgärden mot tröskelvärdet som utlöser aviseringsregeln. |
AlertDetail
En lista med aviseringsinformation som ska grupperas efter (när matchingMethod är Selected)
Name | Typ | Description |
---|---|---|
DisplayName |
string |
Visningsnamn för avisering |
Severity |
string |
Allvarlighetsgrad för avisering |
AlertDetailsOverride
Inställningar för att dynamiskt åsidosätta statisk information om aviseringar
Name | Typ | Description |
---|---|---|
alertDescriptionFormat |
string |
formatet som innehåller kolumnernas namn för att åsidosätta aviseringsbeskrivningen |
alertDisplayNameFormat |
string |
formatet som innehåller kolumnernas namn för att åsidosätta aviseringsnamnet |
alertDynamicProperties |
Lista över ytterligare dynamiska egenskaper som ska åsidosättas |
|
alertSeverityColumnName |
string |
kolumnnamnet för att ta aviseringens allvarlighetsgrad från |
alertTacticsColumnName |
string |
kolumnnamnet att ta aviseringstaktiken från |
AlertProperty
V3-aviseringsegenskapen
Name | Typ | Description |
---|---|---|
AlertLink |
string |
Aviseringens länk |
ConfidenceLevel |
string |
Egenskap för konfidensnivå |
ConfidenceScore |
string |
Förtroendepoäng |
ExtendedLinks |
string |
Utökade länkar till aviseringen |
ProductComponentName |
string |
Aviseringsegenskap för produktkomponentens namn |
ProductName |
string |
Aviseringsegenskap för produktnamn |
ProviderName |
string |
Aviseringsegenskap för providernamn |
RemediationSteps |
string |
Aviseringsegenskap för reparationssteg |
Techniques |
string |
Aviseringsegenskap för tekniker |
AlertPropertyMapping
En enda aviseringsegenskapsmappning som ska åsidosättas
Name | Typ | Description |
---|---|---|
alertProperty |
V3-aviseringsegenskapen |
|
value |
string |
kolumnnamnet som ska användas för att åsidosätta den här egenskapen |
AlertSeverity
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
Name | Typ | Description |
---|---|---|
High |
string |
Hög allvarlighetsgrad |
Informational |
string |
Allvarlighetsgrad för information |
Low |
string |
Låg allvarlighetsgrad |
Medium |
string |
Medelhög allvarlighetsgrad |
AttackTactic
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
Name | Typ | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Felsvarsstruktur.
Name | Typ | Description |
---|---|---|
error |
Feldata |
CloudErrorBody
Felinformation.
Name | Typ | Description |
---|---|---|
code |
string |
En identifierare för felet. Koder är invarianta och är avsedda att användas programmatiskt. |
message |
string |
Ett meddelande som beskriver felet, avsett att vara lämpligt för visning i ett användargränssnitt. |
createdByType
Den typ av identitet som skapade resursen.
Name | Typ | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
Mappning av en entitet för aviseringsregeln
Name | Typ | Description |
---|---|---|
entityType |
V3-typen för den mappade entiteten |
|
fieldMappings |
matris med fältmappningar för den angivna entitetsmappningen |
EntityMappingType
V3-typen för den mappade entiteten
Name | Typ | Description |
---|---|---|
Account |
string |
Entitetstyp för användarkonto |
AzureResource |
string |
Azure-resursentitetstyp |
CloudApplication |
string |
Entitetstyp för molnapp |
DNS |
string |
DNS-entitetstyp |
File |
string |
Systemfilsentitetstyp |
FileHash |
string |
Filhashentitetstyp |
Host |
string |
Värdentitetstyp |
IP |
string |
Entitetstyp för IP-adress |
MailCluster |
string |
Entitetstyp för e-postkluster |
MailMessage |
string |
Entitetstyp för e-postmeddelande |
Mailbox |
string |
Postlådeentitetstyp |
Malware |
string |
Entitetstyp för skadlig kod |
Process |
string |
Processentitetstyp |
RegistryKey |
string |
Entitetstyp för registernyckel |
RegistryValue |
string |
Entitetstyp för registervärde |
SecurityGroup |
string |
Entitetstyp för säkerhetsgrupp |
SubmissionMail |
string |
Skicka e-postentitetstyp |
URL |
string |
URL-entitetstyp |
EventGroupingAggregationKind
Händelsegrupperingsaggregeringstyper
Name | Typ | Description |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
Egenskapsuppsättning för händelsegrupperingsinställningar.
Name | Typ | Description |
---|---|---|
aggregationKind |
Händelsegrupperingsaggregeringstyper |
FieldMapping
En enda fältmappning av den mappade entiteten
Name | Typ | Description |
---|---|---|
columnName |
string |
kolumnnamnet som ska mappas till identifieraren |
identifier |
string |
V3-identifieraren för entiteten |
FusionAlertRule
Representerar fusionsaviseringsregeln.
Name | Typ | Description |
---|---|---|
etag |
string |
Etag för Azure-resursen |
id |
string |
Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
Typ av aviseringsregel |
name |
string |
Namnet på resursen |
properties.alertRuleTemplateName |
string |
Namnet på den aviseringsregelmall som används för att skapa den här regeln. |
properties.description |
string |
Beskrivning av aviseringsregeln. |
properties.displayName |
string |
Visningsnamnet för aviseringar som skapats av den här aviseringsregeln. |
properties.enabled |
boolean |
Avgör om den här aviseringsregeln är aktiverad eller inaktiverad. |
properties.lastModifiedUtc |
string |
Senaste gången aviseringen ändrades. |
properties.severity |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
|
properties.tactics |
Aviseringsregelns taktik |
|
properties.techniques |
string[] |
Teknikerna för aviseringsregeln |
systemData |
Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information. |
|
type |
string |
Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts" |
GroupingConfiguration
Gruppering av egenskapsuppsättning för konfiguration.
Name | Typ | Description |
---|---|---|
enabled |
boolean |
Gruppering aktiverat |
groupByAlertDetails |
En lista med aviseringsinformation som ska grupperas efter (när matchingMethod är Selected) |
|
groupByCustomDetails |
string[] |
En lista med anpassade informationsnycklar som ska grupperas efter (när matchandeMethod är Selected). Endast nycklar som definierats i den aktuella aviseringsregeln kan användas. |
groupByEntities |
En lista över entitetstyper som ska grupperas efter (när matchingMethod är Selected). Endast entiteter som definierats i den aktuella aviseringsregeln kan användas. |
|
lookbackDuration |
string |
Begränsa gruppen till aviseringar som skapats inom lookback-varaktigheten (i ISO 8601-varaktighetsformat) |
matchingMethod |
Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom. |
|
reopenClosedIncident |
boolean |
Öppna stängda matchande incidenter igen |
IncidentConfiguration
Egenskapsuppsättning för incidentkonfiguration.
Name | Typ | Description |
---|---|---|
createIncident |
boolean |
Skapa incidenter från aviseringar som utlöses av den här analysregeln |
groupingConfiguration |
Ange hur aviseringarna som utlöses av den här analysregeln grupperas i incidenter |
MatchingMethod
Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.
Name | Typ | Description |
---|---|---|
AllEntities |
string |
Gruppera aviseringar i en enda incident om alla entiteter matchar |
AnyAlert |
string |
Gruppera aviseringar som utlöses av den här regeln i en enda incident |
Selected |
string |
Gruppera aviseringar i en enda incident om de valda entiteterna, anpassad information och aviseringsinformation matchar |
MicrosoftSecurityIncidentCreationAlertRule
Representerar MicrosoftSecurityIncidentCreation-regeln.
Name | Typ | Description |
---|---|---|
etag |
string |
Etag för Azure-resursen |
id |
string |
Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
Typ av aviseringsregel |
name |
string |
Namnet på resursen |
properties.alertRuleTemplateName |
string |
Namnet på den aviseringsregelmall som används för att skapa den här regeln. |
properties.description |
string |
Beskrivning av aviseringsregeln. |
properties.displayName |
string |
Visningsnamnet för aviseringar som skapats av den här aviseringsregeln. |
properties.displayNamesExcludeFilter |
string[] |
aviseringar displayNames där ärendena inte kommer att genereras |
properties.displayNamesFilter |
string[] |
aviseringars displayNames som ärendena ska genereras på |
properties.enabled |
boolean |
Avgör om den här aviseringsregeln är aktiverad eller inaktiverad. |
properties.lastModifiedUtc |
string |
Senaste gången aviseringen ändrades. |
properties.productFilter |
Aviseringars productName som ärendena ska genereras på |
|
properties.severitiesFilter |
allvarlighetsgraden för de aviseringar som ärendena ska genereras för |
|
systemData |
Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information. |
|
type |
string |
Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
Aviseringars productName som ärendena ska genereras på
Name | Typ | Description |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRule
Representerar schemalagd aviseringsregel.
Name | Typ | Description |
---|---|---|
etag |
string |
Etag för Azure-resursen |
id |
string |
Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
Typ av aviseringsregel |
name |
string |
Namnet på resursen |
properties.alertDetailsOverride |
Åsidosättningsinställningarna för aviseringsinformation |
|
properties.alertRuleTemplateName |
string |
Namnet på den aviseringsregelmall som används för att skapa den här regeln. |
properties.customDetails |
object |
Ordlista med nyckel/värde-strängpar med kolumner som ska kopplas till aviseringen |
properties.description |
string |
Beskrivning av aviseringsregeln. |
properties.displayName |
string |
Visningsnamnet för aviseringar som skapats av den här aviseringsregeln. |
properties.enabled |
boolean |
Avgör om den här aviseringsregeln är aktiverad eller inaktiverad. |
properties.entityMappings |
Matris med entitetsmappningar för aviseringsregeln |
|
properties.eventGroupingSettings |
Inställningarna för händelsegruppering. |
|
properties.incidentConfiguration |
Inställningarna för de incidenter som skapats från aviseringar som utlöses av den här analysregeln |
|
properties.lastModifiedUtc |
string |
Senaste gången den här aviseringsregeln har ändrats. |
properties.query |
string |
Frågan som skapar aviseringar för den här regeln. |
properties.queryFrequency |
string |
Frekvensen (i ISO 8601-varaktighetsformat) för att den här aviseringsregeln ska köras. |
properties.queryPeriod |
string |
Den period (i ISO 8601-varaktighetsformat) som den här aviseringsregeln tittar på. |
properties.severity |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
|
properties.suppressionDuration |
string |
Undertryckningen (i iso 8601-varaktighetsformat) som ska vänta sedan den här aviseringsregeln utlöstes senast. |
properties.suppressionEnabled |
boolean |
Avgör om undertryckningen för den här aviseringsregeln är aktiverad eller inaktiverad. |
properties.tactics |
Aviseringsregelns taktik |
|
properties.techniques |
string[] |
Teknikerna för aviseringsregeln |
properties.templateVersion |
string |
Versionen av aviseringsregelmallen som används för att skapa den här regeln – i formatet <a.b.c>, där alla är tal, till exempel 0 <1.0.2> |
properties.triggerOperator |
Åtgärden mot tröskelvärdet som utlöser aviseringsregeln. |
|
properties.triggerThreshold |
integer |
Tröskelvärdet utlöser den här aviseringsregeln. |
systemData |
Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information. |
|
type |
string |
Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts" |
systemData
Metadata som rör skapande och senaste ändring av resursen.
Name | Typ | Description |
---|---|---|
createdAt |
string |
Tidsstämpeln för resursskapande (UTC). |
createdBy |
string |
Identiteten som skapade resursen. |
createdByType |
Den typ av identitet som skapade resursen. |
|
lastModifiedAt |
string |
Tidsstämpeln för resursens senaste ändring (UTC) |
lastModifiedBy |
string |
Identiteten som senast ändrade resursen. |
lastModifiedByType |
Den typ av identitet som senast ändrade resursen. |
TriggerOperator
Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.
Name | Typ | Description |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |