Dela via


Alert Rules - Get

Hämtar aviseringsregeln.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules/{ruleId}?api-version=2024-03-01

URI-parametrar

Name I Obligatorisk Typ Description
resourceGroupName
path True

string

Namnet på resursgruppen. Namnet är skiftlägesokänsligt.

ruleId
path True

string

Aviseringsregel-ID

subscriptionId
path True

string

ID för målprenumerationen.

workspaceName
path True

string

Namnet på arbetsytan.

Reguljärt uttrycksmönster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

Den API-version som ska användas för den här åtgärden.

Svar

Name Typ Description
200 OK AlertRule:

OK, Åtgärden har slutförts

Other Status Codes

CloudError

Felsvar som beskriver varför åtgärden misslyckades.

Säkerhet

azure_auth

Azure Active Directory OAuth2 Flow

Typ: oauth2
Flow: implicit
Auktoriseringswebbadress: https://login.microsoftonline.com/common/oauth2/authorize

Omfattningar

Name Description
user_impersonation personifiera ditt användarkonto

Exempel

Get a Fusion alert rule.
Get a MicrosoftSecurityIncidentCreation rule.
Get a Scheduled alert rule.

Get a Fusion alert rule.

Exempelbegäran

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule?api-version=2024-03-01

Exempelsvar

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
  "name": "myFirstFusionRule",
  "etag": "\"260090e2-0000-0d00-0000-5d6fb8670000\"",
  "type": "Microsoft.SecurityInsights/alertRules",
  "kind": "Fusion",
  "properties": {
    "displayName": "Advanced Multi-Stage Attack Detection",
    "description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
    "alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
    "tactics": [
      "Persistence",
      "LateralMovement",
      "Exfiltration",
      "CommandAndControl"
    ],
    "severity": "High",
    "enabled": true,
    "lastModifiedUtc": "2019-09-04T13:13:11.5340061Z"
  }
}

Get a MicrosoftSecurityIncidentCreation rule.

Exempelbegäran

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample?api-version=2024-03-01

Exempelsvar

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
  "name": "microsoftSecurityIncidentCreationRuleExample",
  "etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
  "type": "Microsoft.SecurityInsights/alertRules",
  "kind": "MicrosoftSecurityIncidentCreation",
  "properties": {
    "productFilter": "Microsoft Cloud App Security",
    "severitiesFilter": null,
    "displayNamesFilter": null,
    "displayName": "testing displayname",
    "enabled": true,
    "description": null,
    "alertRuleTemplateName": null,
    "lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
  }
}

Get a Scheduled alert rule.

Exempelbegäran

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01

Exempelsvar

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/alertRules",
  "kind": "Scheduled",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "alertRuleTemplateName": null,
    "displayName": "My scheduled rule",
    "description": "An example for a scheduled rule",
    "severity": "High",
    "enabled": true,
    "tactics": [
      "Persistence",
      "LateralMovement"
    ],
    "query": "Heartbeat",
    "queryFrequency": "PT1H",
    "queryPeriod": "P2DT1H30M",
    "triggerOperator": "GreaterThan",
    "triggerThreshold": 0,
    "suppressionDuration": "PT1H",
    "suppressionEnabled": false,
    "lastModifiedUtc": "2019-01-01T13:15:30Z",
    "eventGroupingSettings": {
      "aggregationKind": "AlertPerResult"
    },
    "customDetails": {
      "OperatingSystemName": "OSName",
      "OperatingSystemType": "OSType"
    },
    "entityMappings": [
      {
        "entityType": "Host",
        "fieldMappings": [
          {
            "identifier": "FullName",
            "columnName": "Computer"
          }
        ]
      },
      {
        "entityType": "IP",
        "fieldMappings": [
          {
            "identifier": "Address",
            "columnName": "ComputerIP"
          }
        ]
      }
    ],
    "alertDetailsOverride": {
      "alertDisplayNameFormat": "Alert from {{Computer}}",
      "alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
      "alertTacticsColumnName": null,
      "alertSeverityColumnName": null
    },
    "incidentConfiguration": {
      "createIncident": true,
      "groupingConfiguration": {
        "enabled": true,
        "reopenClosedIncident": false,
        "lookbackDuration": "PT5H",
        "matchingMethod": "Selected",
        "groupByEntities": [
          "Host"
        ],
        "groupByAlertDetails": [
          "DisplayName"
        ],
        "groupByCustomDetails": [
          "OperatingSystemType",
          "OperatingSystemName"
        ]
      }
    }
  }
}

Definitioner

Name Description
AlertDetail

En lista med aviseringsinformation som ska grupperas efter (när matchingMethod är Selected)

AlertDetailsOverride

Inställningar för att dynamiskt åsidosätta statisk information om aviseringar

AlertProperty

V3-aviseringsegenskapen

AlertPropertyMapping

En enda aviseringsegenskapsmappning som ska åsidosättas

AlertSeverity

Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.

AttackTactic

Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.

CloudError

Felsvarsstruktur.

CloudErrorBody

Felinformation.

createdByType

Den typ av identitet som skapade resursen.

EntityMapping

Mappning av en entitet för aviseringsregeln

EntityMappingType

V3-typen för den mappade entiteten

EventGroupingAggregationKind

Händelsegrupperingsaggregeringstyper

EventGroupingSettings

Egenskapsuppsättning för händelsegrupperingsinställningar.

FieldMapping

En enda fältmappning av den mappade entiteten

FusionAlertRule

Representerar fusionsaviseringsregeln.

GroupingConfiguration

Gruppering av egenskapsuppsättning för konfiguration.

IncidentConfiguration

Egenskapsuppsättning för incidentkonfiguration.

MatchingMethod

Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.

MicrosoftSecurityIncidentCreationAlertRule

Representerar MicrosoftSecurityIncidentCreation-regeln.

MicrosoftSecurityProductName

Aviseringars productName som ärendena ska genereras på

ScheduledAlertRule

Representerar schemalagd aviseringsregel.

systemData

Metadata som rör skapande och senaste ändring av resursen.

TriggerOperator

Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.

AlertDetail

En lista med aviseringsinformation som ska grupperas efter (när matchingMethod är Selected)

Name Typ Description
DisplayName

string

Visningsnamn för avisering

Severity

string

Allvarlighetsgrad för avisering

AlertDetailsOverride

Inställningar för att dynamiskt åsidosätta statisk information om aviseringar

Name Typ Description
alertDescriptionFormat

string

formatet som innehåller kolumnernas namn för att åsidosätta aviseringsbeskrivningen

alertDisplayNameFormat

string

formatet som innehåller kolumnernas namn för att åsidosätta aviseringsnamnet

alertDynamicProperties

AlertPropertyMapping[]

Lista över ytterligare dynamiska egenskaper som ska åsidosättas

alertSeverityColumnName

string

kolumnnamnet för att ta aviseringens allvarlighetsgrad från

alertTacticsColumnName

string

kolumnnamnet att ta aviseringstaktiken från

AlertProperty

V3-aviseringsegenskapen

Name Typ Description
AlertLink

string

Aviseringens länk

ConfidenceLevel

string

Egenskap för konfidensnivå

ConfidenceScore

string

Förtroendepoäng

ExtendedLinks

string

Utökade länkar till aviseringen

ProductComponentName

string

Aviseringsegenskap för produktkomponentens namn

ProductName

string

Aviseringsegenskap för produktnamn

ProviderName

string

Aviseringsegenskap för providernamn

RemediationSteps

string

Aviseringsegenskap för reparationssteg

Techniques

string

Aviseringsegenskap för tekniker

AlertPropertyMapping

En enda aviseringsegenskapsmappning som ska åsidosättas

Name Typ Description
alertProperty

AlertProperty

V3-aviseringsegenskapen

value

string

kolumnnamnet som ska användas för att åsidosätta den här egenskapen

AlertSeverity

Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.

Name Typ Description
High

string

Hög allvarlighetsgrad

Informational

string

Allvarlighetsgrad för information

Low

string

Låg allvarlighetsgrad

Medium

string

Medelhög allvarlighetsgrad

AttackTactic

Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.

Name Typ Description
Collection

string

CommandAndControl

string

CredentialAccess

string

DefenseEvasion

string

Discovery

string

Execution

string

Exfiltration

string

Impact

string

ImpairProcessControl

string

InhibitResponseFunction

string

InitialAccess

string

LateralMovement

string

Persistence

string

PreAttack

string

PrivilegeEscalation

string

Reconnaissance

string

ResourceDevelopment

string

CloudError

Felsvarsstruktur.

Name Typ Description
error

CloudErrorBody

Feldata

CloudErrorBody

Felinformation.

Name Typ Description
code

string

En identifierare för felet. Koder är invarianta och är avsedda att användas programmatiskt.

message

string

Ett meddelande som beskriver felet, avsett att vara lämpligt för visning i ett användargränssnitt.

createdByType

Den typ av identitet som skapade resursen.

Name Typ Description
Application

string

Key

string

ManagedIdentity

string

User

string

EntityMapping

Mappning av en entitet för aviseringsregeln

Name Typ Description
entityType

EntityMappingType

V3-typen för den mappade entiteten

fieldMappings

FieldMapping[]

matris med fältmappningar för den angivna entitetsmappningen

EntityMappingType

V3-typen för den mappade entiteten

Name Typ Description
Account

string

Entitetstyp för användarkonto

AzureResource

string

Azure-resursentitetstyp

CloudApplication

string

Entitetstyp för molnapp

DNS

string

DNS-entitetstyp

File

string

Systemfilsentitetstyp

FileHash

string

Filhashentitetstyp

Host

string

Värdentitetstyp

IP

string

Entitetstyp för IP-adress

MailCluster

string

Entitetstyp för e-postkluster

MailMessage

string

Entitetstyp för e-postmeddelande

Mailbox

string

Postlådeentitetstyp

Malware

string

Entitetstyp för skadlig kod

Process

string

Processentitetstyp

RegistryKey

string

Entitetstyp för registernyckel

RegistryValue

string

Entitetstyp för registervärde

SecurityGroup

string

Entitetstyp för säkerhetsgrupp

SubmissionMail

string

Skicka e-postentitetstyp

URL

string

URL-entitetstyp

EventGroupingAggregationKind

Händelsegrupperingsaggregeringstyper

Name Typ Description
AlertPerResult

string

SingleAlert

string

EventGroupingSettings

Egenskapsuppsättning för händelsegrupperingsinställningar.

Name Typ Description
aggregationKind

EventGroupingAggregationKind

Händelsegrupperingsaggregeringstyper

FieldMapping

En enda fältmappning av den mappade entiteten

Name Typ Description
columnName

string

kolumnnamnet som ska mappas till identifieraren

identifier

string

V3-identifieraren för entiteten

FusionAlertRule

Representerar fusionsaviseringsregeln.

Name Typ Description
etag

string

Etag för Azure-resursen

id

string

Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Fusion

Typ av aviseringsregel

name

string

Namnet på resursen

properties.alertRuleTemplateName

string

Namnet på den aviseringsregelmall som används för att skapa den här regeln.

properties.description

string

Beskrivning av aviseringsregeln.

properties.displayName

string

Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.

properties.enabled

boolean

Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.

properties.lastModifiedUtc

string

Senaste gången aviseringen ändrades.

properties.severity

AlertSeverity

Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.

properties.tactics

AttackTactic[]

Aviseringsregelns taktik

properties.techniques

string[]

Teknikerna för aviseringsregeln

systemData

systemData

Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information.

type

string

Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts"

GroupingConfiguration

Gruppering av egenskapsuppsättning för konfiguration.

Name Typ Description
enabled

boolean

Gruppering aktiverat

groupByAlertDetails

AlertDetail[]

En lista med aviseringsinformation som ska grupperas efter (när matchingMethod är Selected)

groupByCustomDetails

string[]

En lista med anpassade informationsnycklar som ska grupperas efter (när matchandeMethod är Selected). Endast nycklar som definierats i den aktuella aviseringsregeln kan användas.

groupByEntities

EntityMappingType[]

En lista över entitetstyper som ska grupperas efter (när matchingMethod är Selected). Endast entiteter som definierats i den aktuella aviseringsregeln kan användas.

lookbackDuration

string

Begränsa gruppen till aviseringar som skapats inom lookback-varaktigheten (i ISO 8601-varaktighetsformat)

matchingMethod

MatchingMethod

Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.

reopenClosedIncident

boolean

Öppna stängda matchande incidenter igen

IncidentConfiguration

Egenskapsuppsättning för incidentkonfiguration.

Name Typ Description
createIncident

boolean

Skapa incidenter från aviseringar som utlöses av den här analysregeln

groupingConfiguration

GroupingConfiguration

Ange hur aviseringarna som utlöses av den här analysregeln grupperas i incidenter

MatchingMethod

Grupperingsmatchningsmetod. När metoden är Vald måste minst en av groupByEn-entiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.

Name Typ Description
AllEntities

string

Gruppera aviseringar i en enda incident om alla entiteter matchar

AnyAlert

string

Gruppera aviseringar som utlöses av den här regeln i en enda incident

Selected

string

Gruppera aviseringar i en enda incident om de valda entiteterna, anpassad information och aviseringsinformation matchar

MicrosoftSecurityIncidentCreationAlertRule

Representerar MicrosoftSecurityIncidentCreation-regeln.

Name Typ Description
etag

string

Etag för Azure-resursen

id

string

Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

MicrosoftSecurityIncidentCreation

Typ av aviseringsregel

name

string

Namnet på resursen

properties.alertRuleTemplateName

string

Namnet på den aviseringsregelmall som används för att skapa den här regeln.

properties.description

string

Beskrivning av aviseringsregeln.

properties.displayName

string

Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.

properties.displayNamesExcludeFilter

string[]

aviseringar displayNames där ärendena inte kommer att genereras

properties.displayNamesFilter

string[]

aviseringars displayNames som ärendena ska genereras på

properties.enabled

boolean

Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.

properties.lastModifiedUtc

string

Senaste gången aviseringen ändrades.

properties.productFilter

MicrosoftSecurityProductName

Aviseringars productName som ärendena ska genereras på

properties.severitiesFilter

AlertSeverity[]

allvarlighetsgraden för de aviseringar som ärendena ska genereras för

systemData

systemData

Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information.

type

string

Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts"

MicrosoftSecurityProductName

Aviseringars productName som ärendena ska genereras på

Name Typ Description
Azure Active Directory Identity Protection

string

Azure Advanced Threat Protection

string

Azure Security Center

string

Azure Security Center for IoT

string

Microsoft Cloud App Security

string

ScheduledAlertRule

Representerar schemalagd aviseringsregel.

Name Typ Description
etag

string

Etag för Azure-resursen

id

string

Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Scheduled

Typ av aviseringsregel

name

string

Namnet på resursen

properties.alertDetailsOverride

AlertDetailsOverride

Åsidosättningsinställningarna för aviseringsinformation

properties.alertRuleTemplateName

string

Namnet på den aviseringsregelmall som används för att skapa den här regeln.

properties.customDetails

object

Ordlista med nyckel/värde-strängpar med kolumner som ska kopplas till aviseringen

properties.description

string

Beskrivning av aviseringsregeln.

properties.displayName

string

Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.

properties.enabled

boolean

Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.

properties.entityMappings

EntityMapping[]

Matris med entitetsmappningar för aviseringsregeln

properties.eventGroupingSettings

EventGroupingSettings

Inställningarna för händelsegruppering.

properties.incidentConfiguration

IncidentConfiguration

Inställningarna för de incidenter som skapats från aviseringar som utlöses av den här analysregeln

properties.lastModifiedUtc

string

Senaste gången den här aviseringsregeln har ändrats.

properties.query

string

Frågan som skapar aviseringar för den här regeln.

properties.queryFrequency

string

Frekvensen (i ISO 8601-varaktighetsformat) för att den här aviseringsregeln ska köras.

properties.queryPeriod

string

Den period (i ISO 8601-varaktighetsformat) som den här aviseringsregeln tittar på.

properties.severity

AlertSeverity

Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.

properties.suppressionDuration

string

Undertryckningen (i iso 8601-varaktighetsformat) som ska vänta sedan den här aviseringsregeln utlöstes senast.

properties.suppressionEnabled

boolean

Avgör om undertryckningen för den här aviseringsregeln är aktiverad eller inaktiverad.

properties.tactics

AttackTactic[]

Aviseringsregelns taktik

properties.techniques

string[]

Teknikerna för aviseringsregeln

properties.templateVersion

string

Versionen av aviseringsregelmallen som används för att skapa den här regeln – i formatet <a.b.c>, där alla är tal, till exempel 0 <1.0.2>

properties.triggerOperator

TriggerOperator

Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.

properties.triggerThreshold

integer

Tröskelvärdet utlöser den här aviseringsregeln.

systemData

systemData

Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information.

type

string

Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts"

systemData

Metadata som rör skapande och senaste ändring av resursen.

Name Typ Description
createdAt

string

Tidsstämpeln för resursskapande (UTC).

createdBy

string

Identiteten som skapade resursen.

createdByType

createdByType

Den typ av identitet som skapade resursen.

lastModifiedAt

string

Tidsstämpeln för resursens senaste ändring (UTC)

lastModifiedBy

string

Identiteten som senast ändrade resursen.

lastModifiedByType

createdByType

Den typ av identitet som senast ändrade resursen.

TriggerOperator

Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.

Name Typ Description
Equal

string

GreaterThan

string

LessThan

string

NotEqual

string