Alert Rules - List
Hämtar alla aviseringsregler.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01
URI-parametrar
Name | I | Obligatorisk | Typ | Description |
---|---|---|---|---|
resource
|
path | True |
string |
Namnet på resursgruppen. Namnet är skiftlägesokänsligt. |
subscription
|
path | True |
string |
ID för målprenumerationen. |
workspace
|
path | True |
string |
Namnet på arbetsytan. Reguljärt uttrycksmönster: |
api-version
|
query | True |
string |
Den API-version som ska användas för den här åtgärden. |
Svar
Name | Typ | Description |
---|---|---|
200 OK |
OK, Åtgärden har slutförts |
|
Other Status Codes |
Felsvar som beskriver varför åtgärden misslyckades. |
Säkerhet
azure_auth
Azure Active Directory OAuth2 Flow
Typ:
oauth2
Flow:
implicit
Auktoriseringswebbadress:
https://login.microsoftonline.com/common/oauth2/authorize
Omfattningar
Name | Description |
---|---|
user_impersonation | personifiera ditt användarkonto |
Exempel
Get all alert rules.
Exempelbegäran
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01
Exempelsvar
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"alertRuleTemplateName": null,
"displayName": "My scheduled rule",
"description": "An example for a scheduled rule",
"severity": "High",
"enabled": true,
"tactics": [
"Persistence",
"LateralMovement"
],
"query": "Heartbeat",
"queryFrequency": "PT1H",
"queryPeriod": "P2DT1H30M",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT1H",
"suppressionEnabled": false,
"lastModifiedUtc": "2021-03-01T13:17:30Z",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"customDetails": {
"OperatingSystemName": "OSName",
"OperatingSystemType": "OSType"
},
"entityMappings": [
{
"entityType": "Host",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "Computer"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "ComputerIP"
}
]
}
],
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert from {{Computer}}",
"alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"incidentConfiguration": {
"createIncident": true,
"groupingConfiguration": {
"enabled": true,
"reopenClosedIncident": false,
"lookbackDuration": "PT5H",
"matchingMethod": "Selected",
"groupByEntities": [
"Host"
],
"groupByAlertDetails": [
"DisplayName"
],
"groupByCustomDetails": [
"OperatingSystemType",
"OperatingSystemName"
]
}
}
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
"name": "microsoftSecurityIncidentCreationRuleExample",
"etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "testing displayname",
"enabled": true,
"description": null,
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
"name": "myFirstFusionRule",
"etag": "\"25005c11-0000-0d00-0000-5d6cc0e20000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
"alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"severity": "High",
"enabled": false,
"lastModifiedUtc": "2019-09-02T07:12:34.9065092Z"
}
}
]
}
Definitioner
Name | Description |
---|---|
Alert |
En lista över aviseringsinformation som ska grupperas efter (när matchandeMethod är Valt) |
Alert |
Inställningar för att dynamiskt åsidosätta statisk information om aviseringar |
Alert |
V3-aviseringsegenskapen |
Alert |
En enda aviseringsegenskapsmappning som ska åsidosättas |
Alert |
Visa en lista över alla aviseringsregler. |
Alert |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
Attack |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
Cloud |
Felsvarsstruktur. |
Cloud |
Felinformation. |
created |
Den typ av identitet som skapade resursen. |
Entity |
Mappning av en entitet för aviseringsregeln |
Entity |
V3-typen för den mappade entiteten |
Event |
Sammansättningstyper för händelsegruppering |
Event |
Egenskapsuppsättning för händelsegrupperingsinställningar. |
Field |
En enda fältmappning av den mappade entiteten |
Fusion |
Representerar fusionsaviseringsregeln. |
Grouping |
Gruppera konfigurationsegenskapspåse. |
Incident |
Egenskapsuppsättning för incidentkonfiguration. |
Matching |
Gruppera matchningsmetod. När metoden är Vald måste minst en gruppByEntiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom. |
Microsoft |
Representerar MicrosoftSecurityIncidentCreation-regeln. |
Microsoft |
Aviseringars productName som ärendena ska genereras på |
Scheduled |
Representerar schemalagd aviseringsregel. |
system |
Metadata som rör skapande och senaste ändring av resursen. |
Trigger |
Åtgärden mot tröskelvärdet som utlöser aviseringsregeln. |
AlertDetail
En lista över aviseringsinformation som ska grupperas efter (när matchandeMethod är Valt)
Name | Typ | Description |
---|---|---|
DisplayName |
string |
Visningsnamn för avisering |
Severity |
string |
Allvarlighetsgrad för avisering |
AlertDetailsOverride
Inställningar för att dynamiskt åsidosätta statisk information om aviseringar
Name | Typ | Description |
---|---|---|
alertDescriptionFormat |
string |
formatet som innehåller kolumnernas namn för att åsidosätta aviseringsbeskrivningen |
alertDisplayNameFormat |
string |
formatet som innehåller kolumnernas namn för att åsidosätta aviseringsnamnet |
alertDynamicProperties |
Lista över ytterligare dynamiska egenskaper som ska åsidosättas |
|
alertSeverityColumnName |
string |
kolumnnamnet för att ta aviseringens allvarlighetsgrad från |
alertTacticsColumnName |
string |
kolumnnamnet för att ta aviseringstaktiken från |
AlertProperty
V3-aviseringsegenskapen
Name | Typ | Description |
---|---|---|
AlertLink |
string |
Aviseringslänk |
ConfidenceLevel |
string |
Egenskap för konfidensnivå |
ConfidenceScore |
string |
Förtroendepoäng |
ExtendedLinks |
string |
Utökade länkar till aviseringen |
ProductComponentName |
string |
Aviseringsegenskap för produktkomponentens namn |
ProductName |
string |
Aviseringsegenskap för produktnamn |
ProviderName |
string |
Aviseringsegenskap för providernamn |
RemediationSteps |
string |
Aviseringsegenskap för reparationssteg |
Techniques |
string |
Aviseringsegenskap för tekniker |
AlertPropertyMapping
En enda aviseringsegenskapsmappning som ska åsidosättas
Name | Typ | Description |
---|---|---|
alertProperty |
V3-aviseringsegenskapen |
|
value |
string |
kolumnnamnet som ska användas för att åsidosätta den här egenskapen |
AlertRulesList
Visa en lista över alla aviseringsregler.
Name | Typ | Description |
---|---|---|
nextLink |
string |
URL för att hämta nästa uppsättning av aviseringsregler. |
value | AlertRule[]: |
Matris med aviseringsregler. |
AlertSeverity
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
Name | Typ | Description |
---|---|---|
High |
string |
Hög allvarlighetsgrad |
Informational |
string |
Allvarlighetsgrad för information |
Low |
string |
Låg allvarlighetsgrad |
Medium |
string |
Medelhög allvarlighetsgrad |
AttackTactic
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
Name | Typ | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Felsvarsstruktur.
Name | Typ | Description |
---|---|---|
error |
Feldata |
CloudErrorBody
Felinformation.
Name | Typ | Description |
---|---|---|
code |
string |
En identifierare för felet. Koder är invarianta och är avsedda att användas programmatiskt. |
message |
string |
Ett meddelande som beskriver felet, avsett att vara lämpligt för visning i ett användargränssnitt. |
createdByType
Den typ av identitet som skapade resursen.
Name | Typ | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
Mappning av en entitet för aviseringsregeln
Name | Typ | Description |
---|---|---|
entityType |
V3-typen för den mappade entiteten |
|
fieldMappings |
matris med fältmappningar för den angivna entitetsmappningen |
EntityMappingType
V3-typen för den mappade entiteten
Name | Typ | Description |
---|---|---|
Account |
string |
Entitetstyp för användarkonto |
AzureResource |
string |
Azure-resursentitetstyp |
CloudApplication |
string |
Entitetstyp för molnapp |
DNS |
string |
DNS-entitetstyp |
File |
string |
Entitetstyp för systemfil |
FileHash |
string |
Entitetstyp för filhash |
Host |
string |
Värdentitetstyp |
IP |
string |
Entitetstyp för IP-adress |
MailCluster |
string |
Entitetstyp för e-postkluster |
MailMessage |
string |
Entitetstyp för e-postmeddelande |
Mailbox |
string |
Postlådeentitetstyp |
Malware |
string |
Entitetstyp för skadlig kod |
Process |
string |
Processentitetstyp |
RegistryKey |
string |
Entitetstyp för registernyckel |
RegistryValue |
string |
Entitetstyp för registervärde |
SecurityGroup |
string |
Entitetstyp för säkerhetsgrupp |
SubmissionMail |
string |
Skicka e-postentitetstyp |
URL |
string |
URL-entitetstyp |
EventGroupingAggregationKind
Sammansättningstyper för händelsegruppering
Name | Typ | Description |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
Egenskapsuppsättning för händelsegrupperingsinställningar.
Name | Typ | Description |
---|---|---|
aggregationKind |
Händelsegrupperingsaggregeringstyper |
FieldMapping
En enda fältmappning av den mappade entiteten
Name | Typ | Description |
---|---|---|
columnName |
string |
kolumnnamnet som ska mappas till identifieraren |
identifier |
string |
V3-identifieraren för entiteten |
FusionAlertRule
Representerar fusionsaviseringsregeln.
Name | Typ | Description |
---|---|---|
etag |
string |
Etag för Azure-resursen |
id |
string |
Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
Typ av aviseringsregel |
name |
string |
Namnet på resursen |
properties.alertRuleTemplateName |
string |
Namnet på den aviseringsregelmall som används för att skapa den här regeln. |
properties.description |
string |
Beskrivning av aviseringsregeln. |
properties.displayName |
string |
Visningsnamnet för aviseringar som skapats av den här aviseringsregeln. |
properties.enabled |
boolean |
Avgör om den här aviseringsregeln är aktiverad eller inaktiverad. |
properties.lastModifiedUtc |
string |
Senaste gången aviseringen ändrades. |
properties.severity |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
|
properties.tactics |
Aviseringsregelns taktik |
|
properties.techniques |
string[] |
Teknikerna för aviseringsregeln |
systemData |
Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information. |
|
type |
string |
Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts" |
GroupingConfiguration
Gruppera konfigurationsegenskapspåse.
Name | Typ | Description |
---|---|---|
enabled |
boolean |
Gruppering aktiverat |
groupByAlertDetails |
En lista över aviseringsinformation som ska grupperas efter (när matchandeMethod är Valt) |
|
groupByCustomDetails |
string[] |
En lista med anpassade informationsnycklar som ska grupperas efter (när matchandeMethod är Valt). Endast nycklar som definierats i den aktuella aviseringsregeln kan användas. |
groupByEntities |
En lista över entitetstyper som ska grupperas efter (när matchandeMethod är Valt). Endast entiteter som definierats i den aktuella aviseringsregeln kan användas. |
|
lookbackDuration |
string |
Begränsa gruppen till aviseringar som skapats inom lookback-varaktigheten (i ISO 8601-varaktighetsformat) |
matchingMethod |
Gruppera matchningsmetod. När metoden är Vald måste minst en gruppByEntiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom. |
|
reopenClosedIncident |
boolean |
Öppna stängda matchande incidenter igen |
IncidentConfiguration
Egenskapsuppsättning för incidentkonfiguration.
Name | Typ | Description |
---|---|---|
createIncident |
boolean |
Skapa incidenter från aviseringar som utlöses av den här analysregeln |
groupingConfiguration |
Ange hur aviseringarna som utlöses av den här analysregeln grupperas i incidenter |
MatchingMethod
Gruppera matchningsmetod. När metoden är Vald måste minst en gruppByEntiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.
Name | Typ | Description |
---|---|---|
AllEntities |
string |
Gruppera aviseringar i en enda incident om alla entiteter matchar |
AnyAlert |
string |
Gruppera eventuella aviseringar som utlöses av den här regeln i en enda incident |
Selected |
string |
Gruppera aviseringar i en enskild incident om de valda entiteterna, den anpassade informationen och aviseringsinformationen matchar |
MicrosoftSecurityIncidentCreationAlertRule
Representerar MicrosoftSecurityIncidentCreation-regeln.
Name | Typ | Description |
---|---|---|
etag |
string |
Etag för Azure-resursen |
id |
string |
Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
Typ av aviseringsregel |
name |
string |
Namnet på resursen |
properties.alertRuleTemplateName |
string |
Namnet på den aviseringsregelmall som används för att skapa den här regeln. |
properties.description |
string |
Beskrivning av aviseringsregeln. |
properties.displayName |
string |
Visningsnamnet för aviseringar som skapats av den här aviseringsregeln. |
properties.displayNamesExcludeFilter |
string[] |
aviseringar displayNames där ärendena inte kommer att genereras |
properties.displayNamesFilter |
string[] |
aviseringars displayNames som ärendena ska genereras på |
properties.enabled |
boolean |
Avgör om den här aviseringsregeln är aktiverad eller inaktiverad. |
properties.lastModifiedUtc |
string |
Senaste gången aviseringen ändrades. |
properties.productFilter |
Aviseringars productName som ärendena ska genereras på |
|
properties.severitiesFilter |
allvarlighetsgraden för de aviseringar som ärendena ska genereras för |
|
systemData |
Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information. |
|
type |
string |
Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
Aviseringars productName som ärendena ska genereras på
Name | Typ | Description |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRule
Representerar schemalagd aviseringsregel.
Name | Typ | Description |
---|---|---|
etag |
string |
Etag för Azure-resursen |
id |
string |
Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
Typ av aviseringsregel |
name |
string |
Namnet på resursen |
properties.alertDetailsOverride |
Åsidosättningsinställningarna för aviseringsinformation |
|
properties.alertRuleTemplateName |
string |
Namnet på den aviseringsregelmall som används för att skapa den här regeln. |
properties.customDetails |
object |
Ordlista med nyckel/värde-strängpar med kolumner som ska kopplas till aviseringen |
properties.description |
string |
Beskrivning av aviseringsregeln. |
properties.displayName |
string |
Visningsnamnet för aviseringar som skapats av den här aviseringsregeln. |
properties.enabled |
boolean |
Avgör om den här aviseringsregeln är aktiverad eller inaktiverad. |
properties.entityMappings |
Matris med entitetsmappningar för aviseringsregeln |
|
properties.eventGroupingSettings |
Inställningarna för händelsegruppering. |
|
properties.incidentConfiguration |
Inställningarna för de incidenter som skapats från aviseringar som utlöses av den här analysregeln |
|
properties.lastModifiedUtc |
string |
Senaste gången den här aviseringsregeln har ändrats. |
properties.query |
string |
Frågan som skapar aviseringar för den här regeln. |
properties.queryFrequency |
string |
Frekvensen (i ISO 8601-varaktighetsformat) för att den här aviseringsregeln ska köras. |
properties.queryPeriod |
string |
Den period (i ISO 8601-varaktighetsformat) som den här aviseringsregeln tittar på. |
properties.severity |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
|
properties.suppressionDuration |
string |
Undertryckningen (i iso 8601-varaktighetsformat) som ska vänta sedan den här aviseringsregeln utlöstes senast. |
properties.suppressionEnabled |
boolean |
Avgör om undertryckningen för den här aviseringsregeln är aktiverad eller inaktiverad. |
properties.tactics |
Aviseringsregelns taktik |
|
properties.techniques |
string[] |
Teknikerna för aviseringsregeln |
properties.templateVersion |
string |
Versionen av aviseringsregelmallen som används för att skapa den här regeln – i formatet <a.b.c>, där alla är tal, till exempel 0 <1.0.2> |
properties.triggerOperator |
Åtgärden mot tröskelvärdet som utlöser aviseringsregeln. |
|
properties.triggerThreshold |
integer |
Tröskelvärdet utlöser den här aviseringsregeln. |
systemData |
Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information. |
|
type |
string |
Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts" |
systemData
Metadata som rör skapande och senaste ändring av resursen.
Name | Typ | Description |
---|---|---|
createdAt |
string |
Tidsstämpeln för resursskapande (UTC). |
createdBy |
string |
Identiteten som skapade resursen. |
createdByType |
Den typ av identitet som skapade resursen. |
|
lastModifiedAt |
string |
Tidsstämpeln för resursens senaste ändring (UTC) |
lastModifiedBy |
string |
Identiteten som senast ändrade resursen. |
lastModifiedByType |
Den typ av identitet som senast ändrade resursen. |
TriggerOperator
Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.
Name | Typ | Description |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |