Alert Rules - List

Referens

Tjänst:: Sentinel

API-version:: 2024-03-01

Hämtar alla aviseringsregler.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01

URI-parametrar

Name	I	Obligatorisk	Typ	Description
resourceGroupName	path	True	string	Namnet på resursgruppen. Namnet är skiftlägesokänsligt.
subscriptionId	path	True	string	ID för målprenumerationen.
workspaceName	path	True	string	Namnet på arbetsytan. Reguljärt uttrycksmönster: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	Den API-version som ska användas för den här åtgärden.

Svar

Name	Typ	Description
200 OK	AlertRulesList	OK, Åtgärden har slutförts
Other Status Codes	CloudError	Felsvar som beskriver varför åtgärden misslyckades.

Säkerhet

azure_auth

Azure Active Directory OAuth2 Flow

Typ: oauth2
Flow: implicit
Auktoriseringswebbadress: https://login.microsoftonline.com/common/oauth2/authorize

Omfattningar

Name	Description
user_impersonation	personifiera ditt användarkonto

Exempel

Get all alert rules.

Exempelbegäran

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01

Exempelsvar

Statuskod:: 200

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Scheduled",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "alertRuleTemplateName": null,
        "displayName": "My scheduled rule",
        "description": "An example for a scheduled rule",
        "severity": "High",
        "enabled": true,
        "tactics": [
          "Persistence",
          "LateralMovement"
        ],
        "query": "Heartbeat",
        "queryFrequency": "PT1H",
        "queryPeriod": "P2DT1H30M",
        "triggerOperator": "GreaterThan",
        "triggerThreshold": 0,
        "suppressionDuration": "PT1H",
        "suppressionEnabled": false,
        "lastModifiedUtc": "2021-03-01T13:17:30Z",
        "eventGroupingSettings": {
          "aggregationKind": "AlertPerResult"
        },
        "customDetails": {
          "OperatingSystemName": "OSName",
          "OperatingSystemType": "OSType"
        },
        "entityMappings": [
          {
            "entityType": "Host",
            "fieldMappings": [
              {
                "identifier": "FullName",
                "columnName": "Computer"
              }
            ]
          },
          {
            "entityType": "IP",
            "fieldMappings": [
              {
                "identifier": "Address",
                "columnName": "ComputerIP"
              }
            ]
          }
        ],
        "alertDetailsOverride": {
          "alertDisplayNameFormat": "Alert from {{Computer}}",
          "alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
          "alertTacticsColumnName": null,
          "alertSeverityColumnName": null
        },
        "incidentConfiguration": {
          "createIncident": true,
          "groupingConfiguration": {
            "enabled": true,
            "reopenClosedIncident": false,
            "lookbackDuration": "PT5H",
            "matchingMethod": "Selected",
            "groupByEntities": [
              "Host"
            ],
            "groupByAlertDetails": [
              "DisplayName"
            ],
            "groupByCustomDetails": [
              "OperatingSystemType",
              "OperatingSystemName"
            ]
          }
        }
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
      "name": "microsoftSecurityIncidentCreationRuleExample",
      "etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "MicrosoftSecurityIncidentCreation",
      "properties": {
        "productFilter": "Microsoft Cloud App Security",
        "severitiesFilter": null,
        "displayNamesFilter": null,
        "displayName": "testing displayname",
        "enabled": true,
        "description": null,
        "alertRuleTemplateName": null,
        "lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
      "name": "myFirstFusionRule",
      "etag": "\"25005c11-0000-0d00-0000-5d6cc0e20000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Fusion",
      "properties": {
        "displayName": "Advanced Multi-Stage Attack Detection",
        "description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
        "alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
        "tactics": [
          "Persistence",
          "LateralMovement",
          "Exfiltration",
          "CommandAndControl"
        ],
        "severity": "High",
        "enabled": false,
        "lastModifiedUtc": "2019-09-02T07:12:34.9065092Z"
      }
    }
  ]
}

Definitioner

Name	Description
AlertDetail	En lista över aviseringsinformation som ska grupperas efter (när matchandeMethod är Valt)
AlertDetailsOverride	Inställningar för att dynamiskt åsidosätta statisk information om aviseringar
AlertProperty	V3-aviseringsegenskapen
AlertPropertyMapping	En enda aviseringsegenskapsmappning som ska åsidosättas
AlertRulesList	Visa en lista över alla aviseringsregler.
AlertSeverity	Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
AttackTactic	Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
CloudError	Felsvarsstruktur.
CloudErrorBody	Felinformation.
createdByType	Den typ av identitet som skapade resursen.
EntityMapping	Mappning av en entitet för aviseringsregeln
EntityMappingType	V3-typen för den mappade entiteten
EventGroupingAggregationKind	Sammansättningstyper för händelsegruppering
EventGroupingSettings	Egenskapsuppsättning för händelsegrupperingsinställningar.
FieldMapping	En enda fältmappning av den mappade entiteten
FusionAlertRule	Representerar fusionsaviseringsregeln.
GroupingConfiguration	Gruppera konfigurationsegenskapspåse.
IncidentConfiguration	Egenskapsuppsättning för incidentkonfiguration.
MatchingMethod	Gruppera matchningsmetod. När metoden är Vald måste minst en gruppByEntiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.
MicrosoftSecurityIncidentCreationAlertRule	Representerar MicrosoftSecurityIncidentCreation-regeln.
MicrosoftSecurityProductName	Aviseringars productName som ärendena ska genereras på
ScheduledAlertRule	Representerar schemalagd aviseringsregel.
systemData	Metadata som rör skapande och senaste ändring av resursen.
TriggerOperator	Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.

AlertDetail

En lista över aviseringsinformation som ska grupperas efter (när matchandeMethod är Valt)

Name	Typ	Description
DisplayName	string	Visningsnamn för avisering
Severity	string	Allvarlighetsgrad för avisering

AlertDetailsOverride

Inställningar för att dynamiskt åsidosätta statisk information om aviseringar

Name	Typ	Description
alertDescriptionFormat	string	formatet som innehåller kolumnernas namn för att åsidosätta aviseringsbeskrivningen
alertDisplayNameFormat	string	formatet som innehåller kolumnernas namn för att åsidosätta aviseringsnamnet
alertDynamicProperties	AlertPropertyMapping[]	Lista över ytterligare dynamiska egenskaper som ska åsidosättas
alertSeverityColumnName	string	kolumnnamnet för att ta aviseringens allvarlighetsgrad från
alertTacticsColumnName	string	kolumnnamnet för att ta aviseringstaktiken från

AlertProperty

V3-aviseringsegenskapen

Name	Typ	Description
AlertLink	string	Aviseringslänk
ConfidenceLevel	string	Egenskap för konfidensnivå
ConfidenceScore	string	Förtroendepoäng
ExtendedLinks	string	Utökade länkar till aviseringen
ProductComponentName	string	Aviseringsegenskap för produktkomponentens namn
ProductName	string	Aviseringsegenskap för produktnamn
ProviderName	string	Aviseringsegenskap för providernamn
RemediationSteps	string	Aviseringsegenskap för reparationssteg
Techniques	string	Aviseringsegenskap för tekniker

AlertPropertyMapping

En enda aviseringsegenskapsmappning som ska åsidosättas

Name	Typ	Description
alertProperty	AlertProperty	V3-aviseringsegenskapen
value	string	kolumnnamnet som ska användas för att åsidosätta den här egenskapen

AlertRulesList

Visa en lista över alla aviseringsregler.

Name	Typ	Description
nextLink	string	URL för att hämta nästa uppsättning av aviseringsregler.
value	AlertRule[]: FusionAlertRule[] MicrosoftSecurityIncidentCreationAlertRule[] ScheduledAlertRule[]	Matris med aviseringsregler.

AlertSeverity

Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.

Name	Typ	Description
High	string	Hög allvarlighetsgrad
Informational	string	Allvarlighetsgrad för information
Low	string	Låg allvarlighetsgrad
Medium	string	Medelhög allvarlighetsgrad

AttackTactic

Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.

Name	Typ	Description
Collection	string
CommandAndControl	string
CredentialAccess	string
DefenseEvasion	string
Discovery	string
Execution	string
Exfiltration	string
Impact	string
ImpairProcessControl	string
InhibitResponseFunction	string
InitialAccess	string
LateralMovement	string
Persistence	string
PreAttack	string
PrivilegeEscalation	string
Reconnaissance	string
ResourceDevelopment	string

CloudError

Felsvarsstruktur.

Name	Typ	Description
error	CloudErrorBody	Feldata

CloudErrorBody

Felinformation.

Name	Typ	Description
code	string	En identifierare för felet. Koder är invarianta och är avsedda att användas programmatiskt.
message	string	Ett meddelande som beskriver felet, avsett att vara lämpligt för visning i ett användargränssnitt.

createdByType

Den typ av identitet som skapade resursen.

Name	Typ	Description
Application	string
Key	string
ManagedIdentity	string
User	string

EntityMapping

Mappning av en entitet för aviseringsregeln

Name	Typ	Description
entityType	EntityMappingType	V3-typen för den mappade entiteten
fieldMappings	FieldMapping[]	matris med fältmappningar för den angivna entitetsmappningen

EntityMappingType

V3-typen för den mappade entiteten

Name	Typ	Description
Account	string	Entitetstyp för användarkonto
AzureResource	string	Azure-resursentitetstyp
CloudApplication	string	Entitetstyp för molnapp
DNS	string	DNS-entitetstyp
File	string	Entitetstyp för systemfil
FileHash	string	Entitetstyp för filhash
Host	string	Värdentitetstyp
IP	string	Entitetstyp för IP-adress
MailCluster	string	Entitetstyp för e-postkluster
MailMessage	string	Entitetstyp för e-postmeddelande
Mailbox	string	Postlådeentitetstyp
Malware	string	Entitetstyp för skadlig kod
Process	string	Processentitetstyp
RegistryKey	string	Entitetstyp för registernyckel
RegistryValue	string	Entitetstyp för registervärde
SecurityGroup	string	Entitetstyp för säkerhetsgrupp
SubmissionMail	string	Skicka e-postentitetstyp
URL	string	URL-entitetstyp

EventGroupingAggregationKind

Sammansättningstyper för händelsegruppering

Name	Typ	Description
AlertPerResult	string
SingleAlert	string

EventGroupingSettings

Egenskapsuppsättning för händelsegrupperingsinställningar.

Name	Typ	Description
aggregationKind	EventGroupingAggregationKind	Händelsegrupperingsaggregeringstyper

FieldMapping

En enda fältmappning av den mappade entiteten

Name	Typ	Description
columnName	string	kolumnnamnet som ska mappas till identifieraren
identifier	string	V3-identifieraren för entiteten

FusionAlertRule

Representerar fusionsaviseringsregeln.

Name	Typ	Description
etag	string	Etag för Azure-resursen
id	string	Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: Fusion	Typ av aviseringsregel
name	string	Namnet på resursen
properties.alertRuleTemplateName	string	Namnet på den aviseringsregelmall som används för att skapa den här regeln.
properties.description	string	Beskrivning av aviseringsregeln.
properties.displayName	string	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.
properties.enabled	boolean	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.
properties.lastModifiedUtc	string	Senaste gången aviseringen ändrades.
properties.severity	AlertSeverity	Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
properties.tactics	AttackTactic[]	Aviseringsregelns taktik
properties.techniques	string[]	Teknikerna för aviseringsregeln
systemData	systemData	Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information.
type	string	Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts"

GroupingConfiguration

Gruppera konfigurationsegenskapspåse.

Name	Typ	Description
enabled	boolean	Gruppering aktiverat
groupByAlertDetails	AlertDetail[]	En lista över aviseringsinformation som ska grupperas efter (när matchandeMethod är Valt)
groupByCustomDetails	string[]	En lista med anpassade informationsnycklar som ska grupperas efter (när matchandeMethod är Valt). Endast nycklar som definierats i den aktuella aviseringsregeln kan användas.
groupByEntities	EntityMappingType[]	En lista över entitetstyper som ska grupperas efter (när matchandeMethod är Valt). Endast entiteter som definierats i den aktuella aviseringsregeln kan användas.
lookbackDuration	string	Begränsa gruppen till aviseringar som skapats inom lookback-varaktigheten (i ISO 8601-varaktighetsformat)
matchingMethod	MatchingMethod	Gruppera matchningsmetod. När metoden är Vald måste minst en gruppByEntiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.
reopenClosedIncident	boolean	Öppna stängda matchande incidenter igen

IncidentConfiguration

Egenskapsuppsättning för incidentkonfiguration.

Name	Typ	Description
createIncident	boolean	Skapa incidenter från aviseringar som utlöses av den här analysregeln
groupingConfiguration	GroupingConfiguration	Ange hur aviseringarna som utlöses av den här analysregeln grupperas i incidenter

MatchingMethod

Gruppera matchningsmetod. När metoden är Vald måste minst en gruppByEntiteter, groupByAlertDetails, groupByCustomDetails anges och inte vara tom.

Name	Typ	Description
AllEntities	string	Gruppera aviseringar i en enda incident om alla entiteter matchar
AnyAlert	string	Gruppera eventuella aviseringar som utlöses av den här regeln i en enda incident
Selected	string	Gruppera aviseringar i en enskild incident om de valda entiteterna, den anpassade informationen och aviseringsinformationen matchar

MicrosoftSecurityIncidentCreationAlertRule

Representerar MicrosoftSecurityIncidentCreation-regeln.

Name	Typ	Description
etag	string	Etag för Azure-resursen
id	string	Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: MicrosoftSecurityIncidentCreation	Typ av aviseringsregel
name	string	Namnet på resursen
properties.alertRuleTemplateName	string	Namnet på den aviseringsregelmall som används för att skapa den här regeln.
properties.description	string	Beskrivning av aviseringsregeln.
properties.displayName	string	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.
properties.displayNamesExcludeFilter	string[]	aviseringar displayNames där ärendena inte kommer att genereras
properties.displayNamesFilter	string[]	aviseringars displayNames som ärendena ska genereras på
properties.enabled	boolean	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.
properties.lastModifiedUtc	string	Senaste gången aviseringen ändrades.
properties.productFilter	MicrosoftSecurityProductName	Aviseringars productName som ärendena ska genereras på
properties.severitiesFilter	AlertSeverity[]	allvarlighetsgraden för de aviseringar som ärendena ska genereras för
systemData	systemData	Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information.
type	string	Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts"

MicrosoftSecurityProductName

Aviseringars productName som ärendena ska genereras på

Name	Typ	Description
Azure Active Directory Identity Protection	string
Azure Advanced Threat Protection	string
Azure Security Center	string
Azure Security Center for IoT	string
Microsoft Cloud App Security	string

ScheduledAlertRule

Representerar schemalagd aviseringsregel.

Name	Typ	Description
etag	string	Etag för Azure-resursen
id	string	Fullständigt kvalificerat resurs-ID för resursen. Exempel – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: Scheduled	Typ av aviseringsregel
name	string	Namnet på resursen
properties.alertDetailsOverride	AlertDetailsOverride	Åsidosättningsinställningarna för aviseringsinformation
properties.alertRuleTemplateName	string	Namnet på den aviseringsregelmall som används för att skapa den här regeln.
properties.customDetails	object	Ordlista med nyckel/värde-strängpar med kolumner som ska kopplas till aviseringen
properties.description	string	Beskrivning av aviseringsregeln.
properties.displayName	string	Visningsnamnet för aviseringar som skapats av den här aviseringsregeln.
properties.enabled	boolean	Avgör om den här aviseringsregeln är aktiverad eller inaktiverad.
properties.entityMappings	EntityMapping[]	Matris med entitetsmappningar för aviseringsregeln
properties.eventGroupingSettings	EventGroupingSettings	Inställningarna för händelsegruppering.
properties.incidentConfiguration	IncidentConfiguration	Inställningarna för de incidenter som skapats från aviseringar som utlöses av den här analysregeln
properties.lastModifiedUtc	string	Senaste gången den här aviseringsregeln har ändrats.
properties.query	string	Frågan som skapar aviseringar för den här regeln.
properties.queryFrequency	string	Frekvensen (i ISO 8601-varaktighetsformat) för att den här aviseringsregeln ska köras.
properties.queryPeriod	string	Den period (i ISO 8601-varaktighetsformat) som den här aviseringsregeln tittar på.
properties.severity	AlertSeverity	Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
properties.suppressionDuration	string	Undertryckningen (i iso 8601-varaktighetsformat) som ska vänta sedan den här aviseringsregeln utlöstes senast.
properties.suppressionEnabled	boolean	Avgör om undertryckningen för den här aviseringsregeln är aktiverad eller inaktiverad.
properties.tactics	AttackTactic[]	Aviseringsregelns taktik
properties.techniques	string[]	Teknikerna för aviseringsregeln
properties.templateVersion	string	Versionen av aviseringsregelmallen som används för att skapa den här regeln – i formatet <a.b.c>, där alla är tal, till exempel 0 <1.0.2>
properties.triggerOperator	TriggerOperator	Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.
properties.triggerThreshold	integer	Tröskelvärdet utlöser den här aviseringsregeln.
systemData	systemData	Azure Resource Manager metadata som innehåller createdBy och modifiedBy-information.
type	string	Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts"

systemData

Metadata som rör skapande och senaste ändring av resursen.

Name	Typ	Description
createdAt	string	Tidsstämpeln för resursskapande (UTC).
createdBy	string	Identiteten som skapade resursen.
createdByType	createdByType	Den typ av identitet som skapade resursen.
lastModifiedAt	string	Tidsstämpeln för resursens senaste ändring (UTC)
lastModifiedBy	string	Identiteten som senast ändrade resursen.
lastModifiedByType	createdByType	Den typ av identitet som senast ändrade resursen.

TriggerOperator

Åtgärden mot tröskelvärdet som utlöser aviseringsregeln.

Name	Typ	Description
Equal	string
GreaterThan	string
LessThan	string
NotEqual	string

Dela via